Zero day exploit in iOS actief misbruikt om politici aan te vallen

iPhone, iPad en MacBook Air op een bureau

Russische hackers hebben een zero day exploit in Apples besturingssysteem iOS misbruikt om Westerse politici aan te vallen. Door een kwetsbaarheid in Webkit in Safari konden aanvallers via LinkedIn Messaging een bericht met phishinglink versturen. Eenmaal op de pagina werden authenticatiecookies van populaire sites als Facebook en Google gestolen.

Dat schrijft de Threat Analysis Group (TAG) van Google in een blog.

TAG ontdekte dit jaar al 33 zero day exploits

Een zero day exploit is een lek in een softwareprogramma of applicatie die sinds de lancering bestaat, maar niet bekend is bij de ontwikkelaars. Hackers en cybercriminelen misbruiken deze kwetsbaarheden om ongemerkt toegang te krijgen, gegevens te stelen of om ransomware of andere kwaadaardige malware te installeren. Zero day exploits zijn dan ook zeer gevaarlijk. Grote techbedrijven geven jaarlijks miljoenen dollars uit aan ethische hackers om deze kwetsbaarheden te ontdekken en te melden.

De Threat Analysis Group (TAG) van Google houdt zich dagelijks bezig met het opsporen van zero days. In haar laatste blog schrijft de groep dat ze de laatste tijd vier zero day exploits hebben gevonden. Daarmee komt de teller voor dit jaar uit op 33. In heel 2020 ontdekte TAG 22 zero day kwetsbaarheden, een stijging van 50 procent ten opzichte van vorig.

Google maakt zich hier grote zorgen over. Het komt steeds vaker voor dat hackers zero day exploits ontdekken en verkopen aan private partijen. “Groepen hoeven niet langer over de technische expertise te beschikken, nu hebben ze alleen middelen nodig”, aldus Google. Drie van de vier ontdekte exploits zijn volgens de techreus ontwikkeld door commerciële partijen en verkocht aan staatshackers.

Hackers konden door lek authenticatiecodes stelen

Eén van de ontdekte zero day exploits betreft een kwetsbaarheid in Webkit in Apples webbrowser Safari. Deze kwetsbaarheid, beter bekend als CVE-2021-1879, stelde hackers in staat om cross-site scripting (XSS) uit te voeren. Dat is een beveiligingsbug waarmee aanvallers een kwaadaardige JavaScript-code kunnen uitvoeren op een internetpagina. Eenmaal uitgevoerd kan het gedrag of uiterlijk van een pagina veranderen. Hackers gebruiken deze methode vaak om privé- of inloggegevens van gebruikers te stelen.

De exploit in kwestie schakelde de Same-Origin-Policy beveiliging uit. Dat is een beveiligingsmaatregel die moet voorkomen dat bepaalde data tussen websites wordt uitgewisseld. Door de Same-Origin-Policy te omzeilen, wisten hackers authenticatietokens voor accounts van populaire sites als Google, Facebook, Microsoft, Yahoo en LinkedIn te vergaren binnen Safari. Deze tokens werden via een WebSocket naar een IP-adres van de hacker verstuurd. Om te werken moest het slachtoffer op het moment van de aanval op internet surfen via de webbrowser van Apple.

Lek ‘hoogstwaarschijnlijk’ misbruikt door Russische staatshackers

TAG beschrijft hoe deze zero day exploit actief werd misbruikt door Russische staatshackers. Zij gebruikten het lek om phishinglinks naar West-Europese politici te versturen via LinkedIn Messaging. Als zij via een iPhone of iPad op deze URL klikten, stuurde deze link hen door naar een malafide website. Daar werden de authenticatietokens buitgemaakt.

Google zegt niet wie de zero day exploit heeft misbruikt, maar houdt het op ‘hackers die door Rusland worden gesteund’. De kwetsbaarheid werd op 19 maart ontdekt door TAG en werkte op iPhones en iPads met iOS-versie 12.4 tot en met 13.7. Een week later rolde Apple een beveiligingsupdate uit die het lek dichtte.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen