심각한 해킹 사고로 2 년 동안 스파이웨어에 감염된 iPhone

심각한 해킹 사고로 2 년 동안 스파이웨어에 감염된 iPhone

보안 전문가들은 새로 발표 된 보안 취약점을 최악의 상황이지만 Apple의 iPhone에 영향을 미치고 있습니다.

연구원들은 의심되는 국가 해커들이 2 년 동안 애플 아이폰에 스파이웨어를 감염 시켰으며, 보안 전문가들은 전화 카드가 프라이버시 인 회사의 경보 보안 실패라고 불렀다.

적은 수의 오염 된 웹 사이트를 방문하면 스마트 폰 소유자의 문자 메시지, 이메일, 사진 및 실시간 위치 데이터를 작업 뒤의 사이버 스파이에게 보낼 수있는 임플란트로 iPhone을 감염시킬 수 있습니다.

Rendition Security의 전 미국 정부 해커 인 제이크 윌리엄스 (Jake Williams)는“이것은 무분별한 타겟팅과 임플란트로 인해 손상된 데이터 양 때문에 대중에게 주목 한 가장 심각한 아이폰 해킹 사건이다.

구글 연구원들이 목요일 늦게 발표 한이 취약점은 지난 2 월 애플에 의해 조용히 수정되었지만 수천 명의 아이폰 사용자가 2 년 이상 노출 된 것으로 밝혀진 이후에야.

연구원들은 스파이웨어 나 그 위치를 파악하는 데 사용 된 웹 사이트를 식별하지 못했습니다. 그들은 또한 사이버 스파이의 배후에있는 사람이나 대상이 무엇인지에 대해서는 언급하지 않았지만 전문가들은 이번 작전이 국가-국가 노력의 특징이라고 밝혔다.

윌리엄스는 스파이웨어 임플란트가 도난당한 데이터를 안전하게 전송하도록 작성되지 않았으며, 이는 해커가 잡힐 염려가 없음을 나타냅니다. 그것은 권위주의 국가가 그 배후에 있다는 것을 암시합니다. 그는 정치적 반체제를 표적으로 삼는 데 사용될 것으로 추측했다.

스파이웨어가 액세스하는 중요한 데이터에는 WhatsApp, iMessage 및 Telegram 문자 메시지, Gmail, 사진, 연락처 및 실시간 위치가 포함되어 있습니다. 기본적으로 피해자의 전화에있는 모든 데이터베이스입니다. 메시징 응용 프로그램은 전송중인 데이터를 암호화 할 수 있지만 iPhone에서 유휴 상태에서 읽을 수 있습니다.

구글 연구원 인 이안 비어 (Ian Beer)는 목요일 늦게 게시 된 블로그에서 아이폰을 성공적으로 해킹하는 데 백만 달러가 든다는 생각을 없애야한다고 말했다.

이는 2016 년 아이폰이 소위 제로 데이 익스플로잇 (Zero-day exploits)에 감염된 아랍 에미리트의 반체제 사례를 언급 한 것으로 높은 가격을 낸 것으로 알려져있다.

"제로 데이" 는 해당 익스플로잇이 영향을받는 소프트웨어 개발자에게 알려지지 않았기 때문에이를 해결하기위한 패치를 개발할 시간이 없었습니다.

14 개의 이러한 취약점과 관련된이 발견은 Project Zero의 Google 연구원에 의해 이루어졌으며, 제조업체, 범죄자, 국가 후원 해커 및 정보 기관에서 사용하는 소프트웨어 및 마이크로 프로세서 펌웨어의 보안 결함을 찾아냅니다.

Sudo Security의 모바일 보안 전문가 인 Will Strafach는 "이것은 사람들에게 모닝콜 역할을해야한다"고 말했다. "모든 플랫폼의 사용자는 잠재적으로 맬웨어에 감염 될 수 있습니다."

Beer는 "무차별 급수 구멍 공격"에 사용 된 감염된 웹 사이트가 주당 수천 명의 방문자를받는 것으로 추정했다. 그는이 팀 이 2016 년에 릴리스 된 버전 10까지 Apple의 iOS 시스템을 포괄하는 5 가지 개별 익스플로잇 체인을 수집했다고 말했다 .

Apple은 자체적으로 취약점을 감지하지 못한 이유와 사용자에게 이러한 일반적인 공격이 다시 발생할 수 없음을 보장 할 수 있는지에 대한 의견 요청에 응답하지 않았습니다. 개인 정보 보증은 Apple 브랜드의 핵심입니다.

Google이나 맥주는 공격 자나 목표물에 대한 질문에 답변하지 않았지만 맥주는 블로그 게시물에 다음과 같은 힌트를 제공했습니다.

Check Point Software Technologies의 보안 관리자 Matt Lourens는 개발을 놀라운 게임 체인저라고 불렀습니다. 그는 이전에 제로 데이에 감염된 아이폰 소유자들이 고가의 목표물 이었지만, 감염 당 낮은 비용으로 스파이웨어를 더 널리 파종 할 수있게되었다고 말했다.

Lourens는 "이것은 기업이 기업 응용 프로그램에 모바일 장치 사용을 보는 방식과 개인 및 / 또는 조직에 보안 위험을 초래하는 방식을 완전히 바꿔야합니다."

Google 연구원 인 Beer는 블로그 게시물에서 절대적인 디지털 보안을 보장 할 수 없다고 경고했습니다.

스마트 폰 사용자는 궁극적으로 "대량 착취가 여전히 존재하고 그에 따라 행동한다는 사실을 알고 있어야합니다." 그는 "모바일 기기를 현대 생활에 없어서는 안될 기기로 취급하지만, 타협 될 경우 모든 행동을 데이터베이스에 업로드하여 잠재적으로 사용할 수있는 기기"라고 썼다.