Project Zero — это название команды исследователей безопасности Google, которой поручено отслеживать и сообщать об уязвимостях нулевого дня в операционных системах, веб-сайтах и приложениях.
Нулевой день, как и в прошлом, ранее не был раскрыт и, следовательно, не был исправлен.
В четверг, 29 августа 2019 года, Project Zero опубликовал «очень глубокое погружение» в эту цепочку — цепочку 0-дневных уязвимостей, которые, по их словам, используются небольшой коллекцией взломанных веб-сайтов в качестве неизбирательной атаки на пользователей iPhone. ,
Вот что они сказали:
Там не было целевой дискриминации; Простого посещения взломанного сайта было достаточно, чтобы сервер эксплойтов атаковал ваше устройство, и, если оно прошло успешно, установите имплантат мониторинга. По нашим оценкам, эти сайты получают тысячи посетителей в неделю.
Еще 1 февраля 2019 года они дали Apple 7-дневный срок для исправления 14 уязвимостей в 5 цепях эксплойтов, потому что именно так работает PZ, и Apple сделала именно это — патч iOS 12.1.4 был выпущен 7 февраля. 2019.
Итак, пост на прошлой неделе больше не был раскрыт. Это было о глубоком погружении. И это было удивительно. Project Zero подробно описал цепочки эксплойтов, обнаруженные в дикой природе.
За исключением двух критических, критических областей:
- Сайты, участвующие в атаках.
- Любые другие операционные системы, которые подвергались атакам.
Почему это так важно, так важно просто: факты охватывают охват, но и отсутствие фактов.
Как я написал в Твиттере сразу после появления поста в блоге, если это был крошечный кластер сайтов в отдаленном регионе по сравнению с крупными многонациональными сайтами, такими как Amazon или YouTube, это совершенно другой уровень угрозы.
Потрясающее углубление в сетевую цепочку эксплойтов iOS. Но я не могу найти информацию о том, какие сайты использовались? Если бы они были крошечным кластером в удаленном регионе по сравнению с крупными многонациональными компаниями, это был бы совершенно другой уровень угрозы. Http: //t.co/CZM4SksLMN
— Рене Ритчи (@reneritchie) 30 августа 2019 г.
Аналогично, если бы это была только iOS, это было бы совсем другое повествование, чем если бы оно было нацелено на Android и Windows.
И, да, мы сразу же увидели результаты написания Project Zero с повторным блогом после повторного блога, в котором рассказывалось как история только для iPhone, о которой всем в мире, имеющим iPhone, нужно было беспокоиться, если не говорить о полной панике.
Я знал, что это был только вопрос времени, когда мои родители увидели эту историю на BBC или в каком-то другом распространенном СМИ и были достаточно обеспокоены, чтобы спросить меня об этом.
Конечно, это заняло менее 24 часов.
У меня возникло желание быстро выпустить видео, указав на отсутствующий контекст и сказав, что что-то не пахнет правильно. Но я не хотел добавлять к шуму, поэтому я начал спрашивать, могу ли я найти какой-нибудь сигнал вместо этого.
Лишь в последние пару дней история стала проясняться.
Во-первых, Зак Уиттакер из TechCrunch узнал, что именно Китай использует хакеры iPhone для нацеливания на уйгурских мусульман в регионе Синьцзян.
По словам Уиттакера:
Это часть последних усилий китайского правительства, направленных на подавление мусульманского сообщества меньшинств в новейшей истории. По данным комитета ООН по правам человека, в прошлом году Пекин содержал более миллиона уйгуров в лагерях для интернированных.
Томас Брюстер из Forbes — фактический Forbes, а не горячая путаница, которой занимается сеть разработчиков Forbes, — подтвердил и расширил отчет TechCrunch, добавив, что пользователи Android и Windows также стали мишенью, а не только iPhone и iOS.
По словам Брюстера:
То, что на Android и Windows были нацелены, является признаком того, что взломы были частью широкой двухлетней работы, которая вышла за рамки телефонов Apple и заразила гораздо больше, чем предполагалось.
TechCrunch добавил:
Это говорит о том, что кампания, нацеленная на уйгуров, была гораздо шире, чем первоначально показывал Google.
Yeeeaaaaah.
И это огромная проблема.
Как я и многие другие люди неоднократно говорили, код настолько сложен, что будут ошибки, и будут эксплойты, и все, что можно сделать с ними, — это этическое раскрытие информации исследователями, быстрые исправления компаниями и ответственная отчетность не только СМИ, но все вовлечены.
Project Zero, благодаря тому, что он принадлежит и управляется компанией Google, которая управляет двумя основными программными платформами с ChromeOS и Android, сталкивается с дополнительным препятствием — им нужно изо всех сил сообщать в Google. Явно. Выше упрека, как говорится.
То, что они сделали здесь, было противоположностью этому. Хуже. Они не занижают данные в Google. Они не смогли сообщить в Google.
Вы могли бы пойти так далеко, чтобы назвать это ложью упущения.
И Google, со своей стороны, сделал и ничего не сказал, чтобы решить эту проблему.
TechCrunch:
Представитель Google не будет комментировать, кроме опубликованных исследований.
Forbes:
Ни Microsoft, ни Google не предоставили комментарий на момент публикации. Неясно, знал ли Google или раскрыл, что сайты также предназначались для других операционных систем.
Теперь это зависит от вас, если вы хотите приписать к этому любые зловещие мотивы заговора. Google действительно конкурирует с Apple по операционным системам и телефонам, и обе этой осенью ожидают больших успехов.
Но трудно представить, что Project Zero когда-либо будет частью этого, или Google, в общем, будет достаточно интеграции между командами, чтобы даже координировать что-либо подобное.
Я думаю, что Project Zero состоит из группы ботаников, которые просто хотят написать о крутой цепочке эксплойтов, которую они нашли в дикой природе.
И это круто. iOS однозначно сложно взломать. Этот унес 14 уязвимостей за 5 цепочек эксплойтов.
Поместите вещи в перспективе:
— Это не новые 0 дней. Все они были исправлены в течение долгого времени, следовательно, почему используется 5 цепей.
— Apple на самом деле стремится к безопасности / конфиденциальности. Другие делают бизнес, пренебрегая последним.
— Что, Android более безопасен? * Кашель * CamScanner * Кашель * 冷
— 62657156686f6a75636a4d21506a736699a0f1548b (@Morpheus______) 30 августа 2019 г.
Это захватывающая вещь для разговора. Но, фактически упустив большую часть истории, Project Zero сформировал историю — и они сделали ее неправильной.
iOS ни в коем случае не самая популярная операционная система, но это самый популярный заголовок. И вот что мы получили. Заголовок после полностью искаженного заголовка. История за неполной историей.
Так много внимания, что я думаю, это то, что Project Zero действительно хочет.
Но это не о внимании. Это о репутации.
Project Zero — супергерои, без сомнения. Проверено много раз. Но они должны хотеть быть Лигой Справедливости. Не Мальчики.
Они должны стремиться искоренить эксплойты, а не становиться частью атак социальной инженерии против пользователей iPhone.
И вот что случилось с этой историей. Многие владельцы iPhone были вынуждены бояться сверх того фактического уровня угрозы, который гарантирован. Все потому, что в оригинальном сообщении в блоге отсутствовал контекст, его никогда не должно было не хватать.
Я могу легко оправдать использование 0-дневного режима для законных угроз национальной безопасности с учетом узкого охвата и целевого использования, но то, что было обнаружено нулевым проектом, — это совсем не то, а одна из самых пугающих вещей, которые я видел в своей «карьере» в качестве iOS-0-дня. Исследователь.
— qwertyoruiop (@qwertyoruiopz) 1 сентября 2019 г.
Это также задержало начало гораздо более важного разговора. В то время как люди беспокоились или злорадствовали по поводу безопасности iOS, они не рассматривали существование этих эксплойтов в целом и то, как они используются не только для национальной безопасности, но и для нацеливания на отдельных лиц и сообщества.
встраивать
Сжечь все 0 дней действительно.
Обновление: Volexity, в широком докладе о цифровом разгоне Китая в регионе, добавил это к поверхности атаки:
Пользователи мобильных устройств, использующие ОС Android, нацеленные на использование эксплойта с 64-разрядным исполняемым файлом ARM.
В арсенал злоумышленника входят приложения Google для получения доступа к электронной почте и спискам контактов учетных записей Gmail через OAuth.
Он не проходит проверку на основе здравого смысла, согласно которой платформы и сервисы, такие популярные, как Google, не будут подвергаться атаке такого типа, что делает отсутствие отчетов Project Zero еще более тревожным.
ВЕКТОР | Рене Ричи
Оцените статью!
Отправляя сообщение, Вы разрешаете сбор и обработку персональных данных. Политика конфиденциальности.