Сегодня Apple опубликовала опровержение уязвимостей безопасности, которые Google подробно описал на прошлой неделе, назвав их «одной из крупнейших атак на пользователей iPhone за все время». Производитель iOS выразил несогласие с несколькими ключевыми моментами, но Google подтверждает свои выводы.
В феврале внутренние команды безопасности Google уведомили Apple о 14 уязвимостях в пяти цепочках эксплойтов, которые использовались для компрометации посетителей взломанных веб-сайтов и установки «импланта мониторинга». Google не уточнил цели, но намекнул, что эти эксплойты позволяют «целенаправленно отслеживать частную деятельность целых групп населения в режиме реального времени». Сегодня Apple сослалась на уйгурскую общину, подтвердив сообщение TechCrunch ранее в этом месяце, в котором ответственной стороной назывался Китай.
Apple признает «сложную атаку», но считает, что она была «узконаправленной» и затронула лишь «менее дюжины веб-сайтов». Google ранее тоже говорил об этом, описывая это как «небольшое количество взломанных веб-сайтов», но оценивал тысячи посетителей в неделю.
Исследователи безопасности Google полагают, что общие «непрерывные усилия по взлому пользователей iPhone в определенных сообществах» продолжались два года. Apple уточняет, что «веб-атаки были активны только в течение короткого периода, примерно двух месяцев».
В заявлении для The Verge Google подтверждает свои исследования и подчеркивает техническую сторону. Apple сегодня, по-видимому, возразила против анализа, опубликованного с шестимесячной задержкой.
Project Zero публикует технические исследования, призванные углубить понимание уязвимостей безопасности, что приводит к разработке лучших защитных стратегий. Мы подтверждаем наши детальные исследования, которые были написаны с акцентом на технические аспекты этих уязвимостей. Мы продолжим работать с Apple и другими ведущими компаниями, чтобы помочь обеспечить безопасность пользователей в интернете.