Kažkas viešai nutekino išnaudojimo rinkinį, galintį nulaužti milijonus iPhone

Praėjusią savaitę kibernetinio saugumo tyrėjai atskleidė įsilaužimo kampaniją, skirtą „iPhone“ naudotojams, kurie naudojo pažangų įsilaužimo įrankį „DarkSword“. Dabar kažkas nutekino naujesnę „DarkSword“ versiją ir paskelbė ją dalijimosi kodu svetainėje „GitHub“.

Tyrėjai perspėja, kad tai leis bet kuriam įsilaužėliui lengvai naudoti įrankius, nukreiptus į iPhone naudotojus, naudojančius senesnes Apple operacinių sistemų versijas, kurie dar nėra atnaujinę į naujausią iOS 26 programinę įrangą. Remiantis pačios „Apple“ duomenimis apie pasenusius įrenginius, tai greičiausiai paveiks šimtus milijonų aktyviai naudojamų „iPhone“ ir „iPad“.

„Tai yra blogai. Juos per lengva panaudoti“, – pirmadienį „TechCrunch“ sakė Matthiasas Frielingsdorfas, mobiliojo ryšio saugumo paleidimo įmonės „iVerify“ įkūrėjas. „Nemanau, kad tai gali būti suvaldyta. Taigi turime tikėtis, kad nusikaltėliai ir kiti pradės tai naudoti.”

Frielingsdorfas teigė, kad šios naujos „DarkSword“ šnipinėjimo programų versijos turi tą pačią infrastruktūrą, kurią jis ir jo „iVerify“ kolegos analizavo anksčiau, nors failai šiek tiek skiriasi. Pasak jo, į „GitHub“ įkelti failai yra nesudėtingi, tik HTML ir „JavaScript“, o tai reiškia, kad kiekvienas gali juos nukopijuoti, įklijuoti ir talpinti serveryje „per kelias minutes ar valandas“.

„Išnaudojimai veiks iš karto“, – sakė Frielingsdorfas. „Nereikia iOS žinių.

Kimberly Samra, „Google“, anksčiau išanalizavusios „DarkSword“ išnaudojimą, atstovė spaudai sakė, kad bendrovės mokslininkai sutinka su Frielingsdorfo vertinimu.

Apsaugos mėgėjas, einantis už rankenos Matteyeux, taip pat sakė „TechCrunch“, kad naudoti nutekėjusius „DarkSword“ pavyzdžius yra tikrai nereikšminga. Matteyeux X pirmadienio įraše rašė, kad jam pavyko nulaužti „iPad mini“ planšetinį kompiuterį, kuriame veikia „iOS 18“ – ankstesnės kartos operacinė sistema, kuri yra pažeidžiama „DarkSword“, naudodamas „laukinėje“ „DarkSword“ pavyzdį, kuris cirkuliuoja internete.

„Apple“ atstovė Sarah O'Rourke „TechCrunch“ sakė, kad bendrovė žinojo apie išnaudojimą nukreiptus įrenginius, kuriuose veikia senesnės ir pasenusios operacinės sistemos, ir kovo 11 d. paskelbė avarinį atnaujinimą įrenginiams, negalintiems paleisti naujausių „iOS“ versijų.

„Programinės įrangos atnaujinimas yra vienintelis svarbiausias dalykas, kurį galite padaryti, kad išlaikytumėte savo Apple produktų saugumą“, – sakė O'Rourke'as ir pridūrė, kad įrenginiams su atnaujinta programine įranga šios praneštos atakos negresia ir kad užrakinimo režimas taip pat blokuotų šias konkrečias atakas.

„Microsoft“, kuriai priklauso „GitHub“, atstovas iš karto neatsakė į prašymą pakomentuoti.

Kode, kurio „TechCrunch“ nesieja, nes jis gali būti naudojamas aktyviose atakose, yra keletas komentarų, kuriuose aprašoma, kaip veikia išnaudojimai ir kaip juos įgyvendinti.

Viename komentare, kurį tikriausiai parašė vienas iš kūrėjų, dirbusių su „DarkSword“, sakoma, kad išnaudojimas „nuskaito ir išfiltruoja teismo ekspertizei svarbius failus iš iOS įrenginių per HTTP“, reiškiantis informacijos vagystę iš asmens iPhone ar iPad ir duomenų siuntimą internetu į užpuoliko valdomą serverį.

„Šis naudingasis krovinys turėtų būti įterptas į procesą su failų sistemos prieigos klase“, – rašoma komentare.

Vienu atveju kodas nurodo „veiklą po išnaudojimo“ ir aprašo procesą po to, kai kenkėjiška programa pasiekia asmens telefoną ir paima jo turinį, įskaitant kontaktus, žinutes, skambučių istoriją ir „iOS“ raktų pakabuką, kuriame saugomi „Wi-Fi“ slaptažodžiai ir kitos paslaptys ir iškeliami į nuotolinį serverį.

Kitame faile yra nuorodų į duomenų įkėlimą į populiarią Ukrainos drabužių svetainę, tačiau „TechCrunch“ negalėjo iš karto nustatyti, kodėl. „DarkSword“ tariamai panaudojo Rusijos vyriausybės įsilaužėliai prieš Ukrainos taikinius.

Remiantis „iVerify“, „Google“ ir „Lookout“, kurie anksčiau išanalizavo „DarkSword“ kenkėjišką programą, ši konkreti šnipinėjimo programa veikia specialiai „iPhone“ ir „iPad“ įrenginiuose, kuriuose veikia „iOS 18“.

„Apple“ duomenimis, maždaug ketvirtadalis visų „iPhone“ ir „iPad“ vartotojų vis dar naudoja „iOS 18“ ar senesnę versiją savo įrenginiuose. Turint daugiau nei 2,5 milijardo aktyvių įrenginių, tai greičiausiai prilygsta šimtams milijonų žmonių, kurių įrenginiai yra pažeidžiami „DarkSword“ atakų.

Štai kodėl Frielingsdorf rekomenduoja kiekvienam atnaujinti savo iPhone operacinę sistemą.

„DarkSword“ buvo atrastas praėjus vos kelioms savaitėms po to, kai mokslininkai atrado kitą pažangų „iPhone“ įsilaužimo įrankių rinkinį, žinomą kaip Coruna. Kaip pranešė „TechCrunch“, „Coruna“ iš pradžių sukūrė gynybos rangovas L3Harris, kurio „Trenchant“ padalinys gamina įsilaužimo įrankius JAV vyriausybei ir jos sąjungininkams.