Websites hacken al jaren stiekem iPhones

1 september 2019

Er zijn al jaren websites die iPhones hacken, schrijft Google's beveiligingsteam in een serie blogposts. Zo'n malafide website installeert automatisch malware op de iPhone en kan vervolgens de locatie en contacten van de gebruiker inzien. De hackers kunnen ook meelezen in chat- en mailapps als WhatsApp en e-mail.

iPhones vanaf de 5S tot en met X met iOS 10, 11 en 12 waren vatbaar voor de malware. Google ontdekte eerder dit jaar een aantal gehackte websites (waarover zo meteen meer) die de malware serveerden. Google's speciale hackteam Project Zero startte een uitgebreid onderzoek.

Installeer iOS 12.4.1
 
De Google-hackers hebben hun bevindingen onlangs aan Apple doorgegeven omdat het lek in iOS bleek te zitten. De fabrikant ontwikkelde daarna met spoed een update en bracht die een paar dagen geleden uit. iOS 12.4.1 is niet meer kwetsbaar voor de malware, schrijven Google en Apple. Zij raden iPhone-gebruikers daarom aan zo snel mogelijk te updaten. 

Malware raakte de iPhone in het hart
 
De malafide websites trokken een paar duizend bezoekers per week, die direct werden aangevallen zodra zij op de site kwamen. Een iPhone-gebruiker merkte hier niets van maar werd waarschijnlijk wel meteen besmet met de malware. De hackers kregen vervolgens toegang tot alle databases met bestanden op het toestel. Dat is een ernstig beveiligingsrisico, legt Google uit in een blogpost. 

Omdat hackers alle databases van een iPhone konden inzien, waren er allerlei geavanceerde acties mogelijk. Er kon een kopie gemaakt worden van de contactenlijst van de gebruiker, net als een volledige kopie van alle foto's op het apparaat. De malware kon daarnaast live de gps-locatie van de iPhone volgen, waardoor kwaadwillenden precies wisten waar de gebruiker zich bevond. 

Wachtwoorden buitgemaakt
 
Google ontdekte dat de malware ook toegang kon krijgen tot wachtwoorden die op de iPhone zijn opgeslagen. Het ging onder andere om wachtwoorden van opgeslagen wifinetwerken en - erger - de gegevens van Google's Single Sign-On (SSO) dienst. Hiermee kan een Google-gebruiker in één keer inloggen bij meerdere Google-apps en -websites. Omdat de hackers deze wachtwoorden wisten te bemachtigen, waren ook de Google-accounts van een iPhone-gebruiker niet veilig.

Encryptie van chatapps was nutteloos
 
Alsof het stiekem controleren en kopiëren van foto's, contacten, wachtwoorden en locatie nog niet genoeg was, bleek de malware ook gesprekken mee te kunnen lezen. Dit heeft opnieuw met de toegang tot databases te maken. Die toegang maakt de zeer sterke end-to-end-encryptie van chat- en maildiensten nutteloos. Deze encryptievorm werkt namelijk alleen als de apparaten van de verzender en de ontvanger veilig zijn. Als één van de twee besmet is, kunnen hackers meekijken. 

Dat gebeurde ook, legt Google met tekst en plaatjes uit in verschillende blogposts. Apps als WhatsApp, Signal, Telegram, iMessage en Google Hangouts waren allemaal vatbaar. Hackers zagen de uitgaande en inkomende berichten zonder encryptie en in plaint-text. Gmail was bijvoorbeeld op dezelfde manier kwetsbaar.

Malafide websites gebruikten 14 zerodays
 
De malware die vanaf de gevaarlijke websites op iPhones geïnstalleerd werd, misbruikte volgens Google vijf complete, unieke exploit-chains. Totaal bevatten die veertien zero-days: lekken die nog niet gedicht zijn door Apple. Het merendeel van die lekken zat in de Safari-browser. 

Google-onderzoekers ontdekten dat de malware 'doodgaat' als de iPhone opnieuw wordt opgestart. Een geruststelling is dat niet, want het is mogelijk dat er dan al kopieën gemaakt zijn van onder andere de fotogalerij en contactenlijst. 

Google: waarschijnlijk meer van dit soort sites
 
Google's Project Zero-onderzoekers schrijven dat de sites die zij bestudeerd hebben, aan het licht zijn gekomen door een fout van de kwaadwillenden. Zij hebben fouten gemaakt waardoor de sites opvielen. Volgens Google is het aannemelijk dat er nog veel meer van dit soort malware-sites zijn die op grote schaal iPhone-gebruikers besmetten en vervolgens in de gaten houden. Een hele gevaarlijke ontwikkeling, verklaart Ian Beer van Project Zero in een blogpost. Hij waarschuwt dat hackers op deze manier mensen van bepaalde ethische groepen of inwoners van bepaalde regio's in real-time kunnen monitoren. 

Volgens Beer is deze iOS-exploit daarom heel veel geld waar. Veel bestaande lekken worden op de zwarte markt voor één tot een paar miljoen euro verkocht. Apple heeft onlangs zijn beloningen voor het melden van lekken verhoogd, in de hoop dat meer onderzoekers naar de fabrikant stappen in plaats van een commercieel (dubieus) bedrijf. De hoogste vergoeding is van twee ton naar één miljoen gegaan - alsnog relatief weinig. 

Duurste iOS-exploit ooit?
 
Deze verregaande exploit is volgens Beer van Google's Project Zero veel meer waard. "Ik ga niet discussiëren of deze lekken 1, 2 of 20 miljoen dollar waard zijn. In plaats daarvan suggereer ik dat al deze prijskaartjes aan de lage kant zijn voor de mogelijkheid om hele populaties in real-time te besmetten en te volgen."

Meer informatie