במה שמוצג כפוטנציאליאחת ההתקפות הגדולות ביותר על משתמשי אייפון אי פעם, גוגל חשפה כי אוסף של אתרים נפרץ כדי להעביר תוכנות זדוניות לאייפון, כאשר נקודות התורפה של iOS הכרוכות שלא נבדקו ולא התגלו במשך שנים - כמו גם התקפות שלאחר מכן.

הפריצות התקינו תוכנות זדוניות עם אפס אינטראקציה באתרים ללא שם שקיבלו אלפי מבקרים מדי שבוע. ביקור פשוט באתרים, מבלי ללחוץ או לגלול כלל, יכול לספק שתל ניטור למכשירי האייפון של המשתמשים.

גוגל הדגימה שהשתל יכול "לגנוב נתונים פרטיים כמו iMessages, תמונות ומיקום GPS בזמן אמת"; הייתה לו גם גישה למחזיקי מפתחות ולנתוני סיסמאות של משתמשים, כמו גם לקבצי מסד נתוניםהמכיל טקסט רגיל של הודעות שנשלחו והתקבלובאפליקציות הודעות כגון Google Hangouts, ואפילו אפליקציות מוצפנות מקצה לקצה כולל WhatsApp, iMessage ו-Telegram.

התוכנה הזדונית תימחק אם האייפון יופעל מחדש, אבל כל מידע רגיש שהושג במהלך ההדבקה עדיין עלול להשאיר את המכשיר, המשתמש שלו ואת החיים המקוונים שלהם חשופים להתקפה.

בעוד שנראה שהבחירה באתרים נועדה לכוון לקהילות מסוימות, המתקפה הייתה חסרת הבחנה אחרת.

יוזמת מחקר האבטחה של גוגל Project Zero פרסמה "צלילה עמוקה מאוד" תוך פירוט המעללים, שקבוצת ניתוח האיומים שלהם גילתה וחשפה לאפל בפברואר 2019.

הצוות מצא חמש רשתות ניצול "נפרדות, שלמות וייחודיות" תוך שימוש ב-14 נקודות תורפה. כמה מהם היו אפס יום, כלומר אפל לא הייתה מודעת להם בזמן הגילוי של פרויקט אפס; אפל תיקנה אותם בתוך תאריך היעד של שבעה ימים שגוגל נתנה ב-iOS 12.1.4,אותו עדכון 7 בפברוארשתיקן את הפגיעות הידועה לשמצה של Group FaceTime.

הניצולים מתוארכים ל-iOS 10 ובאמצעות עדכונים של iOS 12.1.2, המקיפים "כמעט כל גרסה" בפרק הזמן הזה.

ייתכן שהציוץ נמחק

נראה שמספר ניצולי אפל שהתגלו עלה בחדות במהלך השנה האחרונה. בסוף יולי נחשף פרויקט אפסשישה באגי אבטחה ללא אינטראקציהשניתן לנצל באמצעות iMessage, בלבדחמישה מהם הצליחה אפל לתקןעד שצוות גוגל חשף אותם. ובאוגוסט התפרסמו החדשות בנושאפגיעות של SQLite, כפי שהודגם בDEFCON2019 באמצעות אפליקציית אנשי הקשר של iOS, כמו גם הפגיעות למתקפת "KNOB" מבוססת Bluetooth שהשפיעהכל אייפון ואייפד.

Mashable יצרה קשר עם אפל לצורך תגובה.