TAG(Threat Analysis Group)의 분석가들은 결국 iOS 10부터 iOS 12까지 존재했던 총 XNUMX개의 서로 다른 버그를 발견했습니다. 즉, 공격자는 해당 시스템이 시장에 출시된 이후 최소 XNUMX년 동안 이 취약점을 사용할 수 있었습니다.
악성코드는 매우 간단한 원리를 사용했습니다. 페이지를 방문한 후 백그라운드에서 코드가 실행되어 기기로 쉽게 전송되었습니다. 이 프로그램의 주요 목적은 1분 간격으로 파일을 수집하고 위치 데이터를 보내는 것이었습니다. 그리고 프로그램이 장치의 메모리에 자신을 복사했기 때문에 그러한 iMessage도 이 프로그램으로부터 안전하지 않았습니다.
TAG는 Project Zero와 함께 5개의 중요한 보안 결함에서 총 14개의 취약점을 발견했습니다. 이 중 7개는 iOS의 모바일 Safari와 관련이 있고, 5개는 운영 체제 자체의 커널과 관련이 있으며, 2개는 심지어 샌드박싱을 우회하는 데 성공했습니다. 발견 당시 취약점은 패치되지 않았습니다.
Project Zero의 전문가들이 다음과 같이 보고했습니다. Apple의 실수와 규칙에 따라 7일의 시간을 주었습니다. 출판까지. 회사는 1월 9일에 이를 통보받았고, 회사는 iOS 12.1.4에서 XNUMX월 XNUMX일 출시된 업데이트에서 버그를 수정했습니다.
이러한 일련의 취약점은 공격자가 영향을 받는 사이트를 통해 코드를 쉽게 확산시킬 수 있다는 점에서 위험합니다. 장치를 감염시키는 데 필요한 것은 웹 사이트를 로드하고 백그라운드에서 스크립트를 실행하는 것뿐이므로 거의 모든 사람이 위험에 처해 있었습니다.
모든 기술적인 내용은 Google Project Zero 그룹의 영어 블로그에 설명되어 있습니다. 게시물에는 풍부한 세부 사항과 세부 사항이 포함되어 있습니다. 단순한 웹 브라우저가 장치에 대한 게이트웨이 역할을 할 수 있다는 것은 놀라운 일입니다. 사용자는 아무것도 설치하도록 강요받지 않습니다.
페트르 스쿠타 
데이비드 하낙 
