Google Memperingatkan Pengguna iPhone dari Serangan Pencuri Data
Lima eskalasi hak istimewa yang dieksploitasi secara aktif digunakan untuk mengkompromikan perangkat iOS oleh penyerang tidak dikenal telah ditemukan di alam liar oleh Google Threat Analysis Group (TAG) dan tim Project Zero awal tahun ini. Aktor ancaman menggunakan situs web yang dikompromikan untuk menjalankan serangan lubang air yang menargetkan pengguna perangkat iPhone yang menjalankan hampir semua versi antara iOS 10 dan iOS 12, situs yang dikunjungi ribuan kali setiap minggu.
"Ini menunjukkan sebuah kelompok melakukan upaya berkelanjutan untuk meretas pengguna iPhone di komunitas tertentu selama setidaknya dua tahun," kata Ian Beer Project Zero.
iOS zero-days dan serangan 'massal'
Secara total, para peneliti keamanan Google menemukan 14 kerentanan iOS sedang dieksploitasi sebagai bagian dari lima rantai eksploitasi unik, lima berdampak pada kernel, tujuh peramban web iPhone, dan dua lolos dari kotak pasir.
Salah satu dari lima rantai eksploitasi menyalahgunakan CVE-2019-7287 dan CVE-2019-7286 yang, pada saat itu, merupakan kerentanan zero-day. Ini ditambal oleh Apple pada 7 Februari sebagai bagian dari rilis out-of-band iOS 12.1.4 setelah para peneliti melaporkan penemuan mereka pada 1 Februari.
Para korban akan terinfeksi secara langsung dan "secara massal" setelah mengunjungi situs-situs yang diretas yang digunakan oleh kampanye ini, dengan implan jahat dijatuhkan, dipasang, dan diluncurkan pada iPhone pengunjung yang rentan.
"Tidak ada diskriminasi target; cukup mengunjungi situs yang diretas cukup untuk mengeksploitasi server untuk menyerang perangkat Anda, dan jika berhasil, instal implan pemantauan," tambah Beer.
Data yang dicuri dikirim pulang dalam bentuk teks biasa
Untuk meningkatkan eksploitasi hak istimewa yang akan memberi mereka "eksekusi kode tanpa kotak sebagai root di iPhone," operator kampanye menggunakan beberapa eksploitasi JSC WebKit yang menargetkan browser web Safari default untuk mendapatkan pijakan awal pada iPhone korban mereka.
Sementara eksploitasi ini dirancang untuk menghindari langkah-langkah mitigasi injeksi kode JIT, mereka tidak dapat mem-bypass pengerasan JIT berbasis PAC yang lebih baru yang tersedia di iPhone bertenaga A12.
Ini menyiratkan bahwa pengguna iPhone XS, iPhone XS Max, dan iPhone XR dilindungi dari serangan ini karena eksploitasi JSC akan "diselamatkan jika mereka berlari pada perangkat A12."
Meskipun implan jahat yang digunakan oleh penyerang mampu mencuri "data pribadi seperti iMessage, foto, dan lokasi GPS secara real-time," ia juga menunjukkan tanda-tanda bahwa penciptanya tidak berpengalaman dalam mengembangkan karena ia menggunakan perintah hardcoded dan control (C2) alamat IP server dan semua data yang dikirim ke server C2 dikirim dalam teks biasa.
Melihat bahwa tidak ada enkripsi yang digunakan untuk mengeksfiltrasi data yang dicuri, "Jika Anda terhubung ke jaringan WiFi yang tidak terenkripsi, informasi ini disiarkan ke semua orang di sekitar Anda, ke operator jaringan Anda dan setiap jaringan perantara melompat ke server perintah dan kontrol."
 |
| Google Memperingatkan Pengguna iPhone dari Serangan Pencuri Data |
"Ini menunjukkan sebuah kelompok melakukan upaya berkelanjutan untuk meretas pengguna iPhone di komunitas tertentu selama setidaknya dua tahun," kata Ian Beer Project Zero.
iOS zero-days dan serangan 'massal'
Secara total, para peneliti keamanan Google menemukan 14 kerentanan iOS sedang dieksploitasi sebagai bagian dari lima rantai eksploitasi unik, lima berdampak pada kernel, tujuh peramban web iPhone, dan dua lolos dari kotak pasir.
Salah satu dari lima rantai eksploitasi menyalahgunakan CVE-2019-7287 dan CVE-2019-7286 yang, pada saat itu, merupakan kerentanan zero-day. Ini ditambal oleh Apple pada 7 Februari sebagai bagian dari rilis out-of-band iOS 12.1.4 setelah para peneliti melaporkan penemuan mereka pada 1 Februari.
Para korban akan terinfeksi secara langsung dan "secara massal" setelah mengunjungi situs-situs yang diretas yang digunakan oleh kampanye ini, dengan implan jahat dijatuhkan, dipasang, dan diluncurkan pada iPhone pengunjung yang rentan.
"Tidak ada diskriminasi target; cukup mengunjungi situs yang diretas cukup untuk mengeksploitasi server untuk menyerang perangkat Anda, dan jika berhasil, instal implan pemantauan," tambah Beer.
Data yang dicuri dikirim pulang dalam bentuk teks biasa
Untuk meningkatkan eksploitasi hak istimewa yang akan memberi mereka "eksekusi kode tanpa kotak sebagai root di iPhone," operator kampanye menggunakan beberapa eksploitasi JSC WebKit yang menargetkan browser web Safari default untuk mendapatkan pijakan awal pada iPhone korban mereka.
Sementara eksploitasi ini dirancang untuk menghindari langkah-langkah mitigasi injeksi kode JIT, mereka tidak dapat mem-bypass pengerasan JIT berbasis PAC yang lebih baru yang tersedia di iPhone bertenaga A12.
Ini menyiratkan bahwa pengguna iPhone XS, iPhone XS Max, dan iPhone XR dilindungi dari serangan ini karena eksploitasi JSC akan "diselamatkan jika mereka berlari pada perangkat A12."
Meskipun implan jahat yang digunakan oleh penyerang mampu mencuri "data pribadi seperti iMessage, foto, dan lokasi GPS secara real-time," ia juga menunjukkan tanda-tanda bahwa penciptanya tidak berpengalaman dalam mengembangkan karena ia menggunakan perintah hardcoded dan control (C2) alamat IP server dan semua data yang dikirim ke server C2 dikirim dalam teks biasa.
Melihat bahwa tidak ada enkripsi yang digunakan untuk mengeksfiltrasi data yang dicuri, "Jika Anda terhubung ke jaringan WiFi yang tidak terenkripsi, informasi ini disiarkan ke semua orang di sekitar Anda, ke operator jaringan Anda dan setiap jaringan perantara melompat ke server perintah dan kontrol."
0 Response to "Google Memperingatkan Pengguna iPhone dari Serangan Pencuri Data"
Post a Comment