هکرهای سولار ویندز از آسیب‌پذیری آیفون برای حمله به مقامات آمریکا استفاده کردند

آسیب‌پذیری روز صفری که اخیرا کشف شده و بسیاری از نسخه‌های قدیمی iOS در آیفون را تحت تاثیر قرار می‌دهد، توسط گروهی از هکرهای روس که احتمالا در حملات بزرگ سولار ویندز نقش داشته‌اند، علیه مقامات آمریکایی استفاده شده است.

تیم تحلیل خطر گوگل در گزارشی اعلام کرده که هکرها در این حمله از پیام‌هایی استفاده کرده‌اند که از طریق لینکدین به مقامات آمریکایی ارسال شده است. این پیام‌ها شامل لینکی بوده که وقتی روی iOS باز می‌شود، کدهایی را اجرا می‌کند که در نهایت سیستم‌های محافظتی دستگاه را از طریق اکسپلویت CVE-2021-1879 از کار می‌اندازد و اطلاعات کاربر در اختیار مهاجمان قرار می‌دهد.

به گفته گوگل، این آسیب‌پذیری ویژگی Same-Origin-Policy یا سیستم‌هایی را غیرفعال می‌کند که مانع از گردآوری اطلاعات در وب می‌شوند. وقتی این سیستم‌ها خاموش شدند، هکرها می‌توانند اطلاعات احراز هویت وب‌سایت‌هایی مثل گوگل، مایکروسافت، لینکدین، فیسبوک و یاهو را گردآوری کنند.

محققان گوگل می‌گویند: «قربانی باید در مرورگر سافاری یک جلسه‌ باز روی این وب‌سایت‌ها داشته باشد تا اطلاعات کوکی‌ها استخراج شود. این آسیب‌پذیری در نسخه‌های iOS 12.4 تا iOS 13.7 مشاهده شده است.» مرورگرهایی مثل کروم و فایرفاکس که از قابلیت‌های ایزوله‌سازی سایت‌ها استفاده می‌کنند، تحت تاثیر حملات Same-Origin-Policy قرار نمی‌گیرند.

اگرچه گوگل به‌طور مستقیم از گروهی که این حمله را انجام داده اسم نبرده، ولی اذعان می‌کند که حمله به آیفون همزمان با حمله‌ای صورت گرفته که کامپیوترهای ویندوزی را هدف قرار داده بود. شباهت این دو حمله می‌تواند به این نتیجه‌گیری منتهی شود که شاید گروه Nobelium مسئول سوءاستفاده از آسیب‌پذیری iOS باشد. Nobelium چند ماه پیش در جریان حملات سولار ویندز با اکسپلویت CVE-2021-1879 به سازمان‌های دولتی آمریکا و چند شرکت دیگر حمله کرده بود.

اپل در ماه مارس این آسیب‌پذیری را برطرف کرد. با این حال، شمار حملات روز صفر به iOS افزایش چشمگیری پیدا کرده و تیم پروژه صفر گوگل به تنهایی در نیمه اول امسال ۳۳ اکسپلویت روز صفر را در حملات این سیستم عامل شناسایی کرده است.