Apple: годы ложной безопасности

Поклонники продукции компании Apple знают, что производитель позаботился о них. Отсутствие контроля над устройством — невеликая цена за безопасность. Тем же, кому очень хочется получить полномочия суперюзера на своём устройстве, предстоит подвергнуть его процедуре jailbreak. Процедура опасна не только перспективой превращения дорогого гаджета в кирпич, но и тем, что зачастую для её осуществления требуется посещать сомнительные ресурсы, и велика вероятность того, что контроль над любимым iPhone будет разделён со злоумышленником. Но если не нарываться на неприятности или не хотеть странного, то можно чувствовать себя в безопасности, не правда ли?..

В конце августа 2019 года выяснилось, что чувство безопасности в этой ситуации - ложное. Серия из нескольких публикаций исследователей из Google Project Zero вытащила на свет существование эксплойтов, доступных через веб и использовавшихся злоумышленниками на протяжении нескольких лет. Группа TAG (Google's Threat Analysis Group) обнаружила некоторое количество взломанных сайтов, визит на который компрометировал iPhone жертвы. При это никаких действий от жертвы не требовалось – хватало самого посещения сайта. В результате на телефон устанавливалось шпионское ПО, похищавшее файлы — в основном базы контактов и фотографии из WhatsApp, Telegram, Skype, Viber, Gmail, Facebook и iMessage — и сообщавшее о географических координатах жертвы раз в минуту. Как всегда при работе на устройстве жертвы, все встроенные в мессенджеры методы для защиты от прослушивания не срабатывают — конечный пользователь должен видеть контент расшифрованным. Хорошей новостью можно считать тот факт, что spyware не переживало перезагрузки телефона — пользователю требовалось ещё раз зайти на сайт-ловушку и заразиться заново.

Количество посетителей этих сайтов невелико — несколько тысяч в неделю. Уязвимы были устройства начиная с iOS 10 и кончая iOS 12. Сама Apple не знала о используемых уязвимостях до февраля 2019 года. Учитывая опасность найденных уязвимостей, Google потребовал оперативного исправления, и две наиболее неприятных уязвимости были исправлены за неделю, что очень быстро по меркам крупных компаний — обычный срок составляет 90 дней. Учитывая особенности экосистемы Apple, обновления были распространены моментально — тут у яблочной экосистемы есть преимущество перед раздробленным рынком версий Android.

Общее количество уязвимостей, обнаруженных в продуктах компании — 14. Семь из них логично относились к браузеру, ещё пять — к ядру операционной системы, и ещё две представляли собой повышение привилегий при работе в “песочнице”. Они объединялись в 5 различных цепочек, описанных в 5 отдельных публикациях Project Zero. По словам исследователей, никаких чудес в обнаруженных уязвимостях нет: куски кода, которые не должны срабатывать в нормальных условиях, трудно тестируемые блоки кода, не доделанная до конца и заброшенная функциональность, функциональность, не просмотренная во время анализа кода… Всё это привело к описанным выше последствиям.

У описанной истории внезапно обнаружилось политическое измерение. Запись в блоге Брюса Шнайера рассказывает о том, что, во-первых, сайты, найденные TAG, не ограничивались экосистемой Apple — на тех же основаниях с них распространялось и ПО для заражения устройств на платформах Windows и Android. Во-вторых, Шнайер сообщает о том, что кампания была ориентирована на уйгурское мусульманское меньшинство в Китае. Были и случайные жертвы — в результате сайты были выкинуты из результатов поиска в Google. Сам список сайтов не оглашается.

Надо сказать, что браузеры во всех операционных системах рассматриваются как один из основных каналов для распространения зловредов — уязвимость в браузере в сочетании с человеческим фактором приводит к быстрому заражению большого количества устройств.

В целом атака рассматривается как крупнейшая за последние годы атака на экосистему Apple. При высоких ценах на уязвимости нулевого дня (2-3 миллиона долларов) сразу 14 багов наводят на мысль о ресурсах крупного государства. Сама компания Apple обещает до 1 миллиона долларов в рамках программы Bug Bounty. Оперативная реакция показывает, что Apple стремится избежать репутационного ущерба и остаться в глазах публики самой защищённой системой.

Стоит ли делать выводы, что с экосистемой Apple всё плохо в части безопасности и надо срочно переключаться? Разумеется, нет. В любой достаточно сложной программной системе подобные эффекты неизбежны и будут наблюдаться и дальше. Но, тем не менее, оснований почивать на лаврах у компании нет. А новые эксплойты ещё неоднократно станут темой наших публикаций.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку