Владельцам iPhone надо быть осторожнее — хакеры с применением ИИ стали чаще взламывать iOS-устройства

Представление о полной защите iPhone заметно пошатнулось. Специалисты нашли инструменты, которые раньше связывали с государственными структурами и закрытыми лабораториями. Теперь они доступны гораздо более широкому кругу людей. Вредоносные программы научились незаметно забирать личные данные пользователей без лишних уведомлений и признаков взлома.

За последние недели несколько команд специалистов, среди них Google, iVerify и Lookout, обнаружили две отдельные атаки на устройства Apple.

В начале месяца в Google сообщили о сложном инструменте под названием Coruna. Сначала его создавали для задач государственного уровня, позже он оказался у киберпреступников из Китая. Затем стало известно, что похожее решение для американских структур разработала компания L3Harris.

Распространение Coruna выглядело как обычная цифровая ловушка, только в более современной форме. Пользователю достаточно было открыть поддельный сайт на китайском языке, связанный с финансами или криптовалютой. После этого устройство заражалось. Не требовалось скачивать файлы или устанавливать приложения.

На том же сервере нашли ещё один инструмент — DarkSword. По информации Google, он запускался при посещении определённых сайтов. Среди них были украинские новостные и государственные страницы. Это известная схема атаки через заражённые сайты, когда вредоносный код ждёт пользователя на внешне обычном ресурсе.

После заражения программа начинает собирать практически все данные пользователя. В отчёте iVerify говорится, что туда попадают переписки из iMessage, WhatsApp и Telegram, местоположение, контакты, список звонков, настройки Wi-Fi, история браузера и даже файлы cookie. Телефон в такой ситуации становится полностью прозрачным для злоумышленника.

Хотя DarkSword применяли против ограниченной аудитории, ситуация оказалась шире и серьёзнее. Специалисты Lookout отмечают, что разработчики допустили ошибку и оставили основной код на JavaScript открытым. В итоге даже люди с небольшим опытом получили возможность копировать инструмент и менять его под свои задачи.

В Apple закрыли найденные уязвимости в новых версиях iOS за последние годы и выпустили обновление для старых устройств. Браузер Safari теперь блокирует вредоносные сайты, которые нашли специалисты Google.

Раньше подобные инструменты были доступны только узкому кругу заказчиков с большими ресурсами. Их использовали для слежки за активистами, журналистами и политиками. Сейчас порог входа снизился, и такие решения распространяются гораздо шире. Это увеличивает число потенциальных жертв. Сооснователь iVerify Рокки Коул говорит, что рынок шпионского ПО вырос до такого уровня, при котором подобные инструменты стали доступнее, чем раньше. Владельцам iPhone стоит относиться к своим устройствам без прежней уверенности в полной защите.

Сергей Зыбнев, ведущий специалист группы по анализу защищенности мобильных и веб-приложений Бастион, завил в разговоре с CISOCLUB: «Когда исходный код эксплойт-кита, например, DarkSword, утекает на GitHub, к проблеме подключаются модели машинного обучения. Сегодня разобраться в логике эксплойта, адаптировать payload и подобрать обход конкретных защит сможет даже человек без глубокой экспертизы в iOS: достаточно направить запрос языковой модели. То, на что раньше у команды реверс-инженеров уходили недели, теперь укладывается в часы. Apple просто не успевает выпускать патчи с такой скоростью. Поэтому эффективнее всего не стремиться отследить каждый эксплойт, а вкладываться в on-device ML-детекцию аномального поведения, чтобы фиксировать паттерны эксплуатации как класс».

Виктор Чащин, директор по стратегическому развитию МУЛЬТИФАКТОР: «Несмотря на легенды о том, что iOS, как и его старшая соратница, macOS, являются максимально защищёнными операционными системами, даже в них регулярно находят уязвимости. В этот раз беспрецедентен не только масштаб потенциального использования специализированного ПО, и то, что оно может сделать, если попадёт в достаточно умелые руки, но и его относительная скрытность для пользователя.

В целом, в настоящее время специалист с опытом и помощью в виде ИИ может гораздо легче находить и реализовывать атаки как на конкретные цели, так и на случайных пользователей, попавших в его ловушки. И лучшим выходом будет, как всегда, осторожность (не посещайте незнакомые сайты с кликбейтным содержимым) и своевременное обновление ваших устройств (многие сидят на старых версиях ПО и железа просто из принципа «мне не нужны эти новомодные штучки»)».

Директор по развитию технологий искусственного интеллекта Swordfish Security Юрий Шабалин: «Сказать, что при помощи ИИ начали взламывать смартфоны на базе iOS нельзя. ИИ значительно облегчает работу как специалистам по безопасности, так и киберпреступникам, например, автоматизируя поиск уязвимостей и повышая качество фишинга с другой стороны. Однако для прямого взлома iOS одного ИИ недостаточно. Новых способов взломов или обходов ограничений, установленных Apple мы не фиксируем, и далеко не факт, что они появятся в ближайшее время. Может ли ИИ работать на злоумышленников в различных сценариях атак на пользователей с применением социальной инженерии? Безусловно.

Однако я не относил бы эти проблемы к техническим особенностям iOS, они актуальны для любых операционных систем. И это точно не касается обычных пользователей устройств, которые что-то скачивают из App Store и устанавливают себе на телефон. Развитие искусственного интеллекта автоматизирует процессы поиска уязвимостей и создания фишинга, но не является причиной участившихся взломов самих смартфонов iPhone. Операционная система iOS остается надежно защищенной для обычных пользователей».

* Корпорация Meta, владеющая WhatsApp, признана экстремистской организацией и запрещена на территории Российской Федерации.