Уязвимость позволяла через сайт устанавливать программу, которая загружала на сервер злоумышленников конфиденциальные данные.
Исследователи в области информационной безопасности из Google Project нашли группу сайтов с кодом, который позволял через браузер устанавливать на iPhone программу, получавшую root-права и загружающую на сервера злоумышленников конфиденциальные данные. В частности, хакеры могли получить доступ к паролям и фотографиям пользователей, сообщает интернет-издание Хроника.инфо со ссылкой на zn.ua.
Отмечается, что злоумышленники разработали по меньшей мере пять атак, основанных на 14 уязвимостях, которые были активны на протяжении двух лет. Более того, одна из них работала на iOS 12 вплоть до момента обнаружения.
Исследователи обнаружили небольшую группу взломанных злоумышленниками сайтов, содержащих код для взлома iPhone через браузер Safari. Технически уязвимости были подвержены и другие браузеры, а также iPad, потому что в iOS разработчики могут использовать только системный движок WebKit, однако исследователи отмечают, что атаки были нацелены именно на iPhone и Safari.
Исследователи выяснили, что вредоносная программа активировалась каждую минуту и пересылала на сервера злоумышленников данные популярных мессенджеров, таких как WhatsApp, iMessage и Telegram, причем в расшифрованном виде. Более того, она пересылала хакерам все фотографии из галереи и местоположение, а также передавала им все ключи и пароли.
Вместе с тем, на данный момент все уязвимости уже исправлены Apple, к которой специалисты обратились после обнаружения проблемы.