Цікаво, що зловмисникам не потрібно встановлювати на ваш комп'ютер жодних програм чи змушувати відкривати заражені файли. Потрібно лише заманити жертву на сайт, де активується спеціальний скрипт. Він у фоновому режимі відкриває іншу сторінку зі шкідливим кодом. Хакери продемонстрували роботу "iLeakage" на прикладі злому акаунтів Gmail, а також паролів, автоматично збережених у Safari. В iOS вдалося домогтися витоку даних не тільки через стандартний браузер, а й через браузери від сторонніх компаній.
Дивіться також Google успішно справився з найпотужнішою в історії DDoS-атакою
Деталі
Повідомляється, що загроза актуальна для всіх iPhone і Mac, оснащених процесорами A12Z, M1 і новішими. Захисні заходи від процесорних вразливостей Spectre і Meltdown у цьому разі не допомагають.
Особливості "iLeakage" містять у собі:
- Можливість обходу захисту в Safari на чипах A та M, використовуючи вразливість, пов'язану з неправильною інтерпретацією типів даних.
- Техніку атаки, яка не залежить від часу.
- Унікальну властивість WebKit групувати сайти різних доменів в одному процесі за допомогою JavaScript методу "window.open".
Спеціалісти кажуть, що через високу технічну складність методу атаки й потребу в глибоких знаннях для її реалізації, ризик реального її використання найближчим часом залишається невеликим.
Очікується, що Apple вживе заходів і випустить оновлення безпеки до того, як уразливість стане реальною загрозою.