Участник команды Project Zero Иэн Бир — киберподразделения Google, занимающегося поиском уязвимостей "нулевого дня", — обнаружил в iOS опасную ошибку, позволяющую злоумышленнику удаленно подключаться к айфону. Перехватив контроль над устройством через Wi-Fi, хакер мог читать электронную почту, загружать фотографии и даже подглядывать за жертвой через камеру и микрофон.
Критическая недоработка была найдена в AWDL (Apple Wireless Direct Link) — протоколе, который используют iPhone, iPad, компьютеры Mac и смарт-часы Apple Watch для связи между собой. Например, AWDL обеспечивает работу функций AirDrop для передачи файлов с одного устройства на другое и Sidecar для превращения iPad в дополнительный экран.
Обнаружив уязвимость, Бир создал эксплойт, позволяющий удаленно подключаться к устройствам, находящимися в одной сети в Wi-Fi. При этом жертва не заметит следов взлома — смартфон просто перезагрузится, после чего откроет киберпреступнику полный доступ к своему содержимому. Более того, эксперт Project Zero нашел способ включать AWDL даже на тех устройствах, на которых он был ранее выключен.
По словам Бира, у него нет данных, что эту уязвимость эксплуатировали злоумышленники. Ошибка была устранена с релизом iOS 13.5 в мае этого года.
Как отмечает The Verge, в Apple не придали большого значения уязвимости. В компании отметили, что у большинства пользователей установлена более новая версия iOS, в которой эта ошибка исправлена, а хакеру для совершения атаки необходимо находиться в пределах зоны покрытия Wi-Fi.
