Цікаво, що зловмисникам не потрібно встановлювати на ваш комп'ютер жодних програм чи змушувати відкривати заражені файли. Потрібно лише заманити жертву на сайт, де активується спеціальний скрипт. Він у фоновому режимі відкриває іншу сторінку зі шкідливим кодом. Хакери продемонстрували роботу "iLeakage" на прикладі злому акаунтів Gmail, а також паролів, автоматично збережених у Safari. В iOS вдалося домогтися витоку даних не тільки через стандартний браузер, а й через браузери від сторонніх компаній.

Дивіться також Google успішно справився з найпотужнішою в історії DDoS-атакою

Деталі

Повідомляється, що загроза актуальна для всіх iPhone і Mac, оснащених процесорами A12Z, M1 і новішими. Захисні заходи від процесорних вразливостей Spectre і Meltdown у цьому разі не допомагають.

Особливості "iLeakage" містять у собі:

  • Можливість обходу захисту в Safari на чипах A та M, використовуючи вразливість, пов'язану з неправильною інтерпретацією типів даних.
  • Техніку атаки, яка не залежить від часу.
  • Унікальну властивість WebKit групувати сайти різних доменів в одному процесі за допомогою JavaScript методу "window.open".

Спеціалісти кажуть, що через високу технічну складність методу атаки й потребу в глибоких знаннях для її реалізації, ризик реального її використання найближчим часом залишається невеликим.

Очікується, що Apple вживе заходів і випустить оновлення безпеки до того, як уразливість стане реальною загрозою.