Уязвимость в iOS два года позволяла слить пароли и фотографии с iPhone после посещения сайта
Исследователи в области информационной безопасности из Google Project Zero обнаружили группу сайтов с кодом, позволяющим через браузер устанавливать на iPhone программу, получающую root-права и загружающую на сервера злоумышленников конфиденциальные данные, в том числе пароли, данные местоположения и фотографии. Злоумышленники разработали по меньшей мере пять атак, основанных на 14 уязвимостях, причем они были активны на протяжении более чем двух лет, и одна из них работала на текущей версии iOS 12 вплоть до обнаружения. На момент публикации все уязвимости были устранены обновлениями безопасности.
В области информационной безопасности существует понятие уязвимости нулевого дня (0-day). Оно подразумевает, что злоумышленники используют уязвимость в программном обеспечении, о существовании которой пока неизвестно ни разработчикам, ни широкой публике. Эти уязвимости считаются наиболее опасными, потому что у разработчиков нет возможности своевременно разработать защиту от них. У Google есть специальное исследовательское подразделение Project Zero, занимающееся именно поиском таких уязвимостей и оповещающее разработчиков об их существовании.
29 августа 2019 года исследователи из Project Zero обнародовали информацию об обнаружении целого ряда критических уязвимостей нулевого дня, которые применялись на практике на протяжении как минимум двух лет. Исследователи еще в феврале уведомили об этом Apple, поэтому компания исправила уязвимости до публичного раскрытия информации.
Исследователи обнаружили небольшую группу взломанных злоумышленниками сайтов, содержащих код для взлома iPhone через браузер Safari. Технически уязвимости были подвержены и другие браузеры, а также iPad, потому что в iOS разработчики могут использовать только системный движок WebKit, однако исследователи отмечают, что атаки были нацелены именно на iPhone и Safari.
Всего исследователи обнаружили 14 уязвимостей, использованных злоумышленниками. Семь из них были нацелены на веб-движок WebKit, пять на ядро iOS, а еще две обходили механизмы песочницы (изолированной среды исполнения приложений). Они были организованы в пять цепочек — наборов из уязвимостей, которые вместе позволяют запускать на iPhone вредоносную программу под правами суперпользователя, что по сути позволяет ей делать что угодно и получать доступ к практически любым данным. Каждая из цепочек была нацелена на определенные версии iOS. Первая из них была нацелена на версии с 10.0.1 по 10.1.1 и, по-видимому, была активна с сентября 2016 года. Последняя из них работает с версиями операционной системы с 11.4.1 по 12.1.2.
В целом механизм работы цепочек был следующим. Сначала злоумышленники с помощью багов в JavaScript-движке JSC получали возможность читать и писать в память смартфона, а затем использовали эту возможность, чтобы записать в область памяти JIT-компилятора двоичный исполняемый код. Это позволяет запускать на смартфоне полноценный исполняемый код, повышающий привилегии до суперпользователя. После это код копирует в папку /tmp исполняемый файл и заставляет систему запускать его. Единственный недостаток этой схемы заключается в том, что после перезагрузки вредоносная программа уже не запускается и ее необходимо устанавливать заново.
Исследователи выяснили, что вредоносная программа активируется каждую минуту и пересылает на сервера злоумышленников данные популярных мессенджеров, таких как WhatsApp, iMessage и Telegram, причем в расшифрованном виде. Кроме того, она пересылает все фотографии из галереи и местоположение, а также копирует пароли и ключи из встроенного в iOS менеджера паролей «Связка ключей», что позволяет злоумышленникам получать доступ к множеству аккаунтов пользователей.
Авторы исследования отмечают, что все обнаруженные уязвимости уже исправлены Apple, а кроме того, они бесполезны против устройств на базе процессора A12 (iPhone XS и XR), потому что в нем Apple применила новую защиту от атак на JIT-компилятор. Тем не менее, они выразили обеспокоенность, что на протяжении как минимум двух лет неизвестная группа хакеров использовала такие серьезные уязвимости, нацеленные на широкую аудиторию.
Google Project Zero уже не в первый раз обнаруживает масштабные критические уязвимости. В январе 2018 года вместе с другими группами исследователей они раскрыли информацию об уязвимостях Meltdown и Spectre, хотя бы части из которых оказались подвержены почти все современные процессоры. Их исправление привело к снижению производительности компьютеров, нестабильности драйверов и даже невозможности запустить некоторые компьютеры.
Григорий Копиев
Теперь она может определять киберугрозы
Исследователи из Южной Кореи обучили языковую модель DarkBERT на текстах из даркнета. Люди общаются в даркнете иначе, чем в обычном интернете, в том числе используют свой сленг. Модель изучила этот язык, и теперь ее можно применять в задачах кибербезопасности. Препринт доступен на arXiv.org. Языковые модели сегодня применяют для изучения разных текстов. Это нейросети, которые обучились на большом количестве данных и хорошо выполняют задачи, связанные с пониманием речи. Популярные языковые модели основаны на архитектуре Transformer, которую придумали инженеры из Google — такие модели умеют фокусировать внимание на важных частях предложения. Языковые модели лучше всего понимают то, что похоже на примеры из обучающей выборки. Обычно они учатся на больших объемах текстов из интернета, поэтому понимают много чего: литературный язык, сообщения из социальных сетей, научно-популярные статьи. Но есть тексты, которые не попадают в обучающую выборку, в том числе тексты из даркнета. У них есть свои лингвистические особенности: словарный запас, распределение частей речи и даже синтаксис. Обычные языковые модели это не учитывают, потому что во время обучения не видели таких текстов. Выход есть — обучить языковую модель на материалах из даркнета. Даркнет — это часть интернета, которую не найти в обычных поисковиках вроде Яндекса или Гугла. Туда нельзя попасть через обычный браузер. Есть разные сервисы для входа в даркнет, авторы исследования использовали Tor. Люди в даркнете общаются анонимно, и их сложно отследить. Поэтому даркнет стал платформой для всякого незаконного, от утечек данных до торговли запрещенными веществами. Специалисты по кибербезопасности постоянно ищут способы мониторить и изучать тексты в даркнете. Группа ученых из Южной Кореи под руководством Сун Вон Шина (Seungwon Shin) из Корейского института передовых технологий собрала корпус текстов из даркнета и обучила на нем языковую модель DarkBERT. Сначала авторы составили списки сайтов с помощью инструмента поиска по даркнету. Затем они скачали 6 миллионов веб-страниц и превратили их в тексты. Для обучения использовали модель RoBERTa, основанную на архитектуре Transformer. После обучения на текстах даркнета получилась готовая модель DarkBERT. Ее качество сравнивали со стандартными моделями RoBERTa и BERT, которые обучались на обычных текстах. Тестировали модели на разных сценариях киберугроз. Например, иногда злоумышленники похищают конфиденциальные данные с сайтов и вымогают у их владельцев деньги. Если деньги не поступают, злоумышленники публикуют украденные данные. Нейросети получали текст сайта и решали задачу бинарной классификации: определить, размещают ли на нем утекшие данные. DarkBERT справился с этой задачей намного лучше (точность 84 процента у DarkBERT против 70 процентов у BERT и 44 процента у RoBERTa). Еще один пласт нелегальной активности в даркнете — это продажа запрещенных веществ. Авторы проверили, насколько хорошо разные модели понимают сообщения с форумов даркнета: нейросети выделяли ключевые слова в сообщениях о запрещенных веществах. Такие ключевые слова могут пригодиться сотрудникам правоохранительных органов, чтобы быстро искать сообщения о продаже веществ и определять продавцов. Эту задачу тестировали на DarkBERT и на похожей модели BERT, дообученной на тематическом сабреддите. Здесь DarkBERT снова обошел конкурента (точность определения топ-10 ключевых слов 60 процентов у DarkBERT против 40 процентов у BERT). В целом результаты показывают, что предобученная на текстах из даркнета нейросеть DarkBERT справляется с задачами кибербезопасности лучше, чем другие модели. Ее можно использовать, чтобы мониторить нелегальную активность в даркнете, вычислять преступников и предотвращать утечки данных. Но у DarkBERT есть свои ограничения. Во-первых, она умеет работать только с англоязычными текстами. Во-вторых, обучающую выборку из даркнета собирать сложно, потому что сайты непросто найти и превратить в тексты. А чем больше подходящих текстов, тем выше эффективность модели. Другие языковые модели тоже продолжают развиваться. Например, инженеры из Яндекса натренировали нейросеть на русскоязычных текстах и встроили ее в Алису.