Exploit’y związane z eskalacją uprawnień w urządzeniach z iOS, zostały wykryte przez Google Threat Analysis Group (TAG) i zespoły Project Zero na początku tego roku.

Atakujący przez prawie 2 lata wykorzystywali fałszywe strony internetowe do przeprowadzenia ataków na użytkowników urządzeń iPhone z zainstalowaną wersją systemu między iOS 10 a iOS 12. Użytkownik nie musiał wykonać żadnej dodatkowej interakcji, nie widział też żadnych podejrzanych efektów.

W sumie udostępnionych zostało 14 podatności (z czego CVE-2019-7287 i CVE-2019-7286 oznaczone jako 0-day) w zabezpieczeniach iOS, które wykorzystywane są w 5 łańcuchach exploit’ów. Luki dotyczyły m.in. jądra systemu oraz ominięcia mechanizmu sandboxa. 

Ciekawym może okazać się fakt, że możliwość cichego monitorowania aktywności dużej grupy osób, wraz z pełnym dostępem do telefonów może być warta dziesiątki, jeśli nie setki milionów dolarów.

Szczegóły: