חוקרי אלפבית גילו שבע פרצות אבטחה חמורות באייפון
צוות זירו של החברה גילו ליקויי תוכנה שאיפשרו להריץ על הסלולרי קוד זדוני גם בלי שהמשתמש יצטרך להקליק על לינק או לבצע פעולה מיוחדת. מומחי סייבר העריכו את שווי הפרצות האמורות בשוק השחור בעשרות מיליוני דולרים
אנשי פרויקט זירו, מיזם אבטחת המידע של אלפבית, גילו שבע פרצות אבטחה חמורות באייפון, שאיפשרו חדירה למכשיר וגניבת מידע דרך אפליקציית iMessage של אפל. מביניהן, שש כבר תוקנו בעדכון 12.4 של iOS שהופץ בשבוע שעבר. השביעית טרם תוקנה, ולפיכך נמנעים החוקרים מלהציג את פרטיה.
- ליקוי במערכות בנק Capital One חשף פרטי 100 מיליון לקוחות
- הסייבר הישראלי זורק את האוליגרך מהחדר
- שליש ממתקפות הסייבר החמורות בארץ השנה לא דווחו לרשויות
לדברי החוקרים שאיתרו את הליקוים, ארבע מהפרצות היו חמורות ביותר ואיפשרו הרצה של קוד זדוני על גבי האייפון ללא שהמשתמש נדרש לבצע פעולה כמו הקלקה על לינק נגוע, למשל. מדובר בסוג הגרוע ביותר של פרצות, מפני שאין למעשה שום דרך התגוננות נגדן. כל מה שנדרש מההאקר זה לשלוח הודעה מהונדסת וברגע שהמשתמש פותח אותה באפליקציה - הנוזקה מופעלת.
אייפון XS מקס של אפל צילום: אוראל כהן
שתי הפרצות הנוספות גם הן מסוכנות ומאפשרות לסרוק את זיכרון המכשיר ולקרוא קבצים, גם ממכשיר מרוחק. הזמינות של הוכחות ההיתכנות של שש הפרצות שפורסמו בידי זירו היא עוד תזכורת חשובה למי שטרם עדכן את מכשירו, ומוטב שיקדים לעשות כן.
"היו שמועות שהסתובבו על פרצות מרוחקות שלא דורשות פעולה של משתמש, אך אלה לא היו חשופות באופן נרחב עד כה", כתבה חוקרת זירו נטלי סילבנוביץ'. לא ברור למה היא התכוונה, אך יכול להיות שהיא רמזה לפרצות שבהן עושות שימוש חברות סייבר התקפי כגון NSO, האקינג טים ודומותיהן.
חבילת הפרצות הוערכה בהיקף של כ-5 מיליון דולר עד 10 מיליון דולר, כך על פי מחירון שפורסם על ידי Zerodium, חברת מסחור הפרצות של האקר העל שאוקי בקראר הצרפתי. חברה אחרת, Crowdfense, העריכה את הפרצות במחיר אף יותר גבוה של בין 20 ל-24 מיליון דולר. מדובר בפרצות שרבים ישמחו לשים את ידיהם עליהן. השימוש בהן מאפשר לקבל גישה לאייפונים חדשים גם בגרסאות האחרונות של מערכת ההפעלה של אפל.
