آسیبپذیری روز صفری که اخیرا کشف شده و بسیاری از نسخههای قدیمی iOS در آیفون را تحت تاثیر قرار میدهد، توسط گروهی از هکرهای روس که احتمالا در حملات بزرگ سولار ویندز نقش داشتهاند، علیه مقامات آمریکایی استفاده شده است.
تیم تحلیل خطر گوگل در گزارشی اعلام کرده که هکرها در این حمله از پیامهایی استفاده کردهاند که از طریق لینکدین به مقامات آمریکایی ارسال شده است. این پیامها شامل لینکی بوده که وقتی روی iOS باز میشود، کدهایی را اجرا میکند که در نهایت سیستمهای محافظتی دستگاه را از طریق اکسپلویت CVE-2021-1879 از کار میاندازد و اطلاعات کاربر در اختیار مهاجمان قرار میدهد.
به گفته گوگل، این آسیبپذیری ویژگی Same-Origin-Policy یا سیستمهایی را غیرفعال میکند که مانع از گردآوری اطلاعات در وب میشوند. وقتی این سیستمها خاموش شدند، هکرها میتوانند اطلاعات احراز هویت وبسایتهایی مثل گوگل، مایکروسافت، لینکدین، فیسبوک و یاهو را گردآوری کنند.
محققان گوگل میگویند: «قربانی باید در مرورگر سافاری یک جلسه باز روی این وبسایتها داشته باشد تا اطلاعات کوکیها استخراج شود. این آسیبپذیری در نسخههای iOS 12.4 تا iOS 13.7 مشاهده شده است.» مرورگرهایی مثل کروم و فایرفاکس که از قابلیتهای ایزولهسازی سایتها استفاده میکنند، تحت تاثیر حملات Same-Origin-Policy قرار نمیگیرند.
اگرچه گوگل بهطور مستقیم از گروهی که این حمله را انجام داده اسم نبرده، ولی اذعان میکند که حمله به آیفون همزمان با حملهای صورت گرفته که کامپیوترهای ویندوزی را هدف قرار داده بود. شباهت این دو حمله میتواند به این نتیجهگیری منتهی شود که شاید گروه Nobelium مسئول سوءاستفاده از آسیبپذیری iOS باشد. Nobelium چند ماه پیش در جریان حملات سولار ویندز با اکسپلویت CVE-2021-1879 به سازمانهای دولتی آمریکا و چند شرکت دیگر حمله کرده بود.
اپل در ماه مارس این آسیبپذیری را برطرف کرد. با این حال، شمار حملات روز صفر به iOS افزایش چشمگیری پیدا کرده و تیم پروژه صفر گوگل به تنهایی در نیمه اول امسال ۳۳ اکسپلویت روز صفر را در حملات این سیستم عامل شناسایی کرده است.
