Представители компании Apple опубликовали официальное заявление, в котором утверждается, что специалисты Google, недавно сообщившие о массовой компрометации пользователей iOS, длившейся годами, преувеличивают масштаб проблемы и умалчивают о ряде важных деталей.
Напомню, что в конце августа 2019 года эксперты Google Project Zero рассказали, что неназванные сайты более двух лет атаковали пользователей iPhone при помощи 14 уязвимостей, объединенных в пять цепочек эксплоитов. Компрометация происходила без какого-либо участия пользователей, достаточно было просто посетить вредоносный ресурс.
Исследователи не конкретизировали, что это были за сайты, однако отмечали, что атаки не были таргетированными и распространялись на всех пользователей iOS, посетивших ресурсы (а те насчитывали тысячи посетителей в неделю). Эксплуатируя уязвимости, злоумышленники устанавливали на устройства пользователей шпионскую малварь, которая не переживала перезагрузку, но могла похищать личные данные жертв, включая сообщения в мессенджерах, контакты, фотографии и информацию о местоположении устройства в режиме реального времени.
Позже СМИ сообщили, что эксперты Google опустили ряд важных деталей об обнаруженной ими кампании. Ссылаясь на собственные источники, СМИ заявили, что кампания была направлена на уйгуров, мусульманское население китайского региона Синьцзян. За людьми там и так давно ведется массовая слежка, а более миллиона уйгуров содержатся в тюрьмах и воспитательных лагерях. То есть вредоносные сайты, похоже, были уйгурскими.
Кроме того, по данным прессы, кампания была направлена отнюдь не только на пользователей iOS; неизвестные злоумышленники использовали похожие тактики против пользователей Android и Windows. При этом неизвестно, какие именно пейлоады доставлялись пользователям других операционных систем.
Теперь представители Apple официально заявили, что, по их данным, обнаруженная Google вредоносная кампания не была столь массовой, а отчет Google создает «ложное впечатление» о том, что многие пользователи iPhone могли быть скомпрометированы. В Apple пишут, что это была сложная, узконаправленная атака, связанная с мусульманским населением китайского региона Синьцзян: «атака затронула менее десятка сайтов, содержащих контент, связанный с уйгурским сообществом», — гласит заявление.
Кроме того, по информации Apple, эта атака длились вовсе не два года (с сентября 2016 до января 2018 года), как утверждает Google, но лишь около двух месяцев. В Apple подчеркивают, что в феврале текущего года, узнав об уязвимостях, эксперты компании устранили их в течение десяти дней, более того, работа над патчами началась до того, как специалисты Google Project Zero связались с Apple и сообщили о проблемах.
Точку зрения Apple поддерживают и некоторые ИБ-эксперты. К примеру, аналитик компании RiskIQ Йонатан Клинсма (Yonathan Klijnsma) пишет, что обнаруженные атаки действительно были таргетированными и затрагивали лишь отдельных посетителей опасных сайтов, а не всех случайных пользователей подряд.
One thing misunderstood slightly is the scope of the P0 & @volexity published campaign(s). This watering hole wasn't for everyone. Injections were planted on sites visited by specific communities some with country filtering.
— Yonathan Klijnsma (@ydklijnsma) September 2, 2019
From Apr => Sept we only saw 166 payload requests f.e. pic.twitter.com/vSkDnQ6m27
В своем сообщении Клинсма ссылается на исследование, опубликованное ИБ-компанией Volexity, в котором описывается очень похожая кампания, но ориентированная на пользователей Android, а не iOS. Эксперт RiskIQ пишет, что телеметрия RiskIQ Passive Total показывает — пейлоады для пользователей Android сработали лишь 166 раз, и это никак нельзя называть массовой вредоносной кампанией. А с атаками, направленными на пользователей iOS, была такая же картина.
Тем временем, представители Google все же продолжают отстаивать свою точку зрения. Так, участник Google Project Zero Тим Уиллис (Tim Willis) объясняет, что исследователи действительно обнаружили только эксплуатацию уязвимостей в iOS и сконцентрировали свой отчет вокруг технических нюансов этой атаки и самих 0-day уязвимостей. Уиллис пишет, что Google не пыталась саботировать своего конкурента на рынке мобильных ОС, равно как и преувеличивать опасность произошедшего.
... TAG *only* saw iOS exploitation on these sites when TAG found them back in Jan 2019 (and yes, they looked for everything else as well).
— Tim Willis (@itswillis) September 2, 2019
That said, anyone out there with full chain 0day in-the-wild from Android / Windows, feel free to reach out and we'd love to take a look!