Google Project Zero խմբի հետազոտողները հայտնաբերել են խոցելիություն, որը խոշորագույններից մեկն է iOS պլատֆորմի պատմության մեջ: Վնասակար չարամիտ ծրագիրը շահագործել է բջջային Safari վեբ բրաուզերի սխալները:
Google Project Zero-ի փորձագետ Յան Բիրը բացատրում է ամեն ինչ իր բլոգում։ Այս անգամ ոչ ոք ստիպված չէր խուսափել գրոհներից։ Վարակվելու համար բավական էր այցելել վարակված կայք։
Սպառնալիքների վերլուծության խմբի (TAG) վերլուծաբաններն ի վերջո հայտնաբերեցին ընդհանուր առմամբ հինգ տարբեր սխալներ, որոնք առկա էին iOS 10-ից մինչև iOS 12: Այլ կերպ ասած, հարձակվողները կարող էին օգտագործել խոցելիությունը առնվազն երկու տարի, քանի որ այս համակարգերը շուկայում էին:
Չարամիտ ծրագիրն օգտագործում էր շատ պարզ սկզբունք. Էջ այցելելուց հետո հետին պլանում գործարկվեց ծածկագիր, որը հեշտությամբ փոխանցվեց սարքին: Ծրագրի հիմնական նպատակը ֆայլեր հավաքելն ու գտնվելու վայրի տվյալներն ուղարկելն էր մեկ րոպե ընդմիջումներով: Եվ քանի որ ծրագիրն ինքն իրեն պատճենեց սարքի հիշողության մեջ, նույնիսկ այդպիսի iMessages-ն ապահով չէր դրանից։
TAG-ը Project Zero-ի հետ միասին հայտնաբերել է ընդհանուր առմամբ տասնչորս խոցելիություն անվտանգության հինգ կարևորագույն թերությունների դեպքում: Դրանցից ամբողջական յոթը կապված են iOS-ի բջջային Safari-ի հետ, ևս հինգը՝ օպերացիոն համակարգի միջուկին, և երկուսին նույնիսկ հաջողվել է շրջանցել Sandboxing-ը: Հայտնաբերման պահին ոչ մի խոցելիություն չի կարկատվել:
Այս մասին զեկուցել են Project Zero-ի փորձագետները Apple-ի սխալները և նրանց յոթ օր է տվել կանոնների համաձայն մինչև հրապարակումը։ Ընկերությունը տեղեկացվել է փետրվարի 1-ին, և ընկերությունը շտկել է սխալը iOS 9-ում փետրվարի 12.1.4-ին թողարկված թարմացման միջոցով:
Այս խոցելիությունների շարքը վտանգավոր է նրանով, որ հարձակվողները կարող են հեշտությամբ տարածել կոդը տուժած կայքերի միջոցով: Քանի որ սարքը վարակելու համար անհրաժեշտ է միայն բեռնել վեբկայքը և գործարկել սկրիպտները հետին պլանում, գրեթե բոլորը վտանգի տակ էին:
Ամեն ինչ տեխնիկապես բացատրված է Google Project Zero խմբի անգլերեն բլոգում։ Գրառումը պարունակում է բազմաթիվ մանրամասներ և մանրամասներ: Զարմանալի է, թե ինչպես վեբ զննարկիչը կարող է գործել որպես ձեր սարքի դարպաս: Օգտագործողին չեն ստիպում որևէ բան տեղադրել։
Հետևաբար, մեր սարքերի անվտանգությունը լավ բան չէ, որ անտեսենք:
Պետր Շկուտա 
Դավիթ Հանակ 
