Onderzoekers zeggen dat vermeende hackers van nationale staten gedurende twee jaar Apple iPhones hebben geïnfecteerd met spyware in wat beveiligingsexperts vrijdag een alarmerende beveiligingsfout noemden voor een bedrijf wiens visitekaartje privacy is.

Een bezoek aan een van een klein aantal besmette websites kan een iPhone besmetten met een implantaat dat sms-berichten van de eigenaar van de smartphone kan verzenden, e-mail, foto's en realtime locatiegegevens aan de cyberspionnen achter de operatie.

"Dit is absoluut het ernstigste iPhone-hackincident dat ooit onder de publieke aandacht is gebracht. zowel vanwege de willekeurige targeting als de hoeveelheid gegevens die door het implantaat zijn aangetast, ", zei voormalig hacker van de Amerikaanse regering Jake Williams, de voorzitter van Rendition Security.

Aangekondigd eind donderdag door Google-onderzoekers, de laatste kwetsbaarheden werden in februari stilletjes verholpen door Apple, maar pas nadat werd aangenomen dat duizenden iPhone-gebruikers gedurende meer dan twee jaar waren blootgesteld.

De onderzoekers identificeerden niet de websites die werden gebruikt om de spyware te plaatsen of hun locatie. Ze zeiden ook niet wie er achter de cyberspionage zat of op welke bevolking het doelwit was, maar experts zeiden dat de operatie de kenmerken had van een inspanning van een natiestaat.

Williams zei dat het spyware-implantaat niet is geschreven om gestolen gegevens veilig te verzenden, wat aangeeft dat de hackers niet bezorgd waren om gepakt te worden. Dat suggereert dat er een autoritaire staat achter zat. Hij speculeerde dat het waarschijnlijk werd gebruikt om politieke dissidenten aan te vallen.

Gevoelige gegevens waartoe de spyware toegang had, waren onder meer WhatsApp, iMessage- en Telegram-tekstberichten, Gmail, foto's, contacten en realtime locatie - in wezen alle databases op de telefoon van het slachtoffer. Hoewel de berichtentoepassingen gegevens tijdens het transport kunnen versleutelen, het is in rust leesbaar op iPhones.

Google-onderzoeker Ian Beer zei in een blog dat eind donderdag werd gepost dat de ontdekking elk idee zou moeten wegnemen dat het een miljoen dollar kost om een ​​iPhone succesvol te hacken. Dat is een verwijzing naar de zaak van een dissident uit de Verenigde Arabische Emiraten wiens iPhone in 2016 werd geïnfecteerd met zogenaamde zero-day exploits, waarvan bekend is dat ze zulke hoge prijzen opleveren.

"Zero day" verwijst naar het feit dat dergelijke exploits onbekend zijn bij de ontwikkelaars van de getroffen software, en dus hebben ze geen tijd gehad om patches te ontwikkelen om het te repareren.

De vondst, met 14 van dergelijke kwetsbaarheden, is gemaakt door Google-onderzoekers van Project Zero, die op zoek gaat naar beveiligingsfouten in software en microprocessorfirmware, onafhankelijk van hun fabrikant, dat criminelen, door de staat gesponsorde hackers en inlichtingendiensten gebruiken.

"Dit zou moeten dienen als een wake-up call voor mensen, " zei Will Strafach, een mobiele beveiligingsexpert bij Sudo Security. "Iedereen op elk platform kan mogelijk geïnfecteerd raken met malware."

Beer zei dat zijn team schat dat de geïnfecteerde websites die worden gebruikt in de "willekeurige watering hole-aanvallen" duizenden bezoekers per week ontvangen. Hij zei dat het team vijf afzonderlijke reeksen van exploits verzamelde die betrekking hadden op het iOS-systeem van Apple, al in versie 10, uitgebracht in 2016.

Apple heeft niet gereageerd op verzoeken om commentaar over waarom het de kwetsbaarheden niet zelf heeft ontdekt en of het gebruikers kan verzekeren dat een dergelijke algemene aanval niet opnieuw kan plaatsvinden. Privacyborging staat centraal bij het merk Apple.

Noch Google noch Beer reageerden op vragen over de aanvallers of de doelen, hoewel Beer een hint gaf in zijn blogpost:"Getarget worden kan betekenen dat je gewoon in een bepaalde geografische regio bent geboren of deel uitmaakt van een bepaalde etnische groep."

Beveiligingsmanager Matt Lourens van Check Point Software Technologies noemde de ontwikkeling een alarmerende game-changer. Hij zei dat terwijl iPhone-bezitters die eerder werden gecompromitteerd door nul dagen hoogwaardige doelen waren, een meer wijdverbreide seeding van spyware tegen lagere kosten per infectie is nu mogelijk gebleken.

"Dit moet de manier waarop bedrijven het gebruik van mobiele apparaten voor bedrijfstoepassingen zien, absoluut veranderen. en het veiligheidsrisico dat het voor het individu en/of de organisatie met zich meebrengt, ' zegt Lourens in een e-mail.

In zijn blogpost, de Google-onderzoeker Beer waarschuwde dat absolute digitale veiligheid niet kan worden gegarandeerd.

Smartphone-gebruikers moeten zich uiteindelijk "bewust zijn van het feit dat massale uitbuiting nog steeds bestaat en zich dienovereenkomstig gedragen"; Hij schreef, "hun mobiele apparaten behandelen als een integraal onderdeel van hun moderne leven, maar ook als apparaten die, wanneer ze worden gecompromitteerd, kunnen al hun acties uploaden naar een database om mogelijk tegen hen te worden gebruikt."

© 2019 The Associated Press. Alle rechten voorbehouden.