Os investigadores do Google Project Zero revelaram que, no início deste ano, descobriram uma série de sites comprometidos que estavam a ser utilizados como parte de um ataque de watering hole que explorava várias vulnerabilidades, que não haviam sido descobertas anteriormente (zero-day), em dispositivos iPhone. Se não está familiarizado com o termo, watering hole refere-se a um tipo de ataque no qual o invasor compromete um site e espera que os utilizadores o visitem e, assim, se tornem vítimas.
“Visitar o site comprometido é suficiente para começar o ataque ao dispositivo e, se o ataque for bem-sucedido, instala um sistema de monitorização”, explica Ian Beer, investigador Project Zero. A Google acredita que esses sites foram usados como parte de uma campanha maliciosa durante um período de pelo menos dois anos e que receberam milhares de visitas semanais.
Os investigadores descobriram também cinco cadeias de exploração que incidem sobre 14 vulnerabilidades diferentes – sete no navegador Safari – e afetaram praticamente todas as versões do iOS entre a 10 e 12. As cinco cadeias de exploração permitiram ao invasor obter o nível máximo de privilégios num iPhone, podendo, entre outras coisas, instalar aplicações maliciosas para navegar por todos os conteúdos sem o utilizador se aperceber.
Assim, esta app maliciosa permitiu roubar fotos, mensagens do iMessage, informações de localização por GPS em tempo real, além da possibilidade de aceder a palavras-passe guardadas no dispositivo.
A equipe da Google relatou essas falhas à Apple para resolução em sete dias, o que resultou no lançamento da versão 12.1.4 do iOS em fevereiro deste ano.
Embora esta campanha tenha sido detectada, de acordo com Ian Beer, é provável que haja outras campanhas ativas que ainda não foram descobertas.