Google Project Zero taldeko ikertzaileek iOS plataformaren historiako ahultasun handienetako bat aurkitu dute. Malware gaiztoak akatsak ustiatu zituen Safari web arakatzaile mugikorrean.
Google Project Zero adituak Ian Beer-ek dena azaltzen du bere blogean. Inork ez zituen erasoak saihestu behar izan oraingoan. Nahikoa zen kutsatutako webgune bat bisitatzea kutsatzeko.
Threat Analysis Group (TAG) taldeko analistek azkenean iOS 10etik iOS 12ra arte zeuden bost akats ezberdin aurkitu zituzten. Beste era batera esanda, erasotzaileek ahultasuna gutxienez bi urtez erabil dezakete sistema horiek merkatuan zeudenetik.
Malwareak printzipio oso sinplea erabiltzen zuen. Orria bisitatu ondoren, gailura erraz transferitzen zen kode bat exekutatzen zen atzeko planoan. Programaren helburu nagusia fitxategiak biltzea eta kokapen datuak minutu bateko tartean bidaltzea zen. Eta programak bere burua gailuaren memorian kopiatu zuenez, iMessage horiek ere ez zeuden bertatik salbu.
TAG-ek Project Zerorekin batera hamalau ahultasun aurkitu zituen guztira bost segurtasun akats kritikotan. Horietatik zazpi bat iOS-en Safari mugikorrekin zerikusia zuten, beste bost sistema eragilearen beraren nukleoarekin eta bik sandboxing-a saihestea ere lortu zuten. Aurkikuntzaren momentuan, ez zegoen ahultasunik adabakirik.
Zero Proiektuko adituek jakinarazi zuten Appleren akatsak eta zazpi egun eman zizkieten arauen arabera argitaratu arte. Otsailaren 1ean jakinarazi zioten konpainiari, eta konpainiak akatsa konpondu zuen otsailaren 9an iOS 12.1.4-n argitaratutako eguneratze batean.
Ahultasun hauen seriea arriskutsua da, erasotzaileek erraz heda dezaketelako kodea kaltetutako guneetatik. Gailu bat kutsatzeko behar dena webgune bat kargatzea eta scriptak atzeko planoan exekutatu denez, ia edonor zegoen arriskuan.
Dena teknikoki azaltzen da Google Project Zero taldearen ingelesezko blogean. Argitalpenak xehetasun eta xehetasun ugari ditu. Harrigarria da web-arakatzaile soil batek zure gailurako ate gisa nola jokatu dezakeen. Erabiltzailea ez dago ezer instalatzera behartuta.
Gure gailuen segurtasuna, beraz, ez da arin hartzeko gauza ona.
Petr Škuta 
David Hanak 
