На прошлой неделе команда Google Project Zero поделилась подробностями о нескольких серьезных уязвимостях iOS, которые позволяли вредоносным веб-сайтам получать доступ к телефону жертвы. Всего было обнаружено 14 уязвимостей, которые активно использовались, и хотя они уже устранены, некоторые из этих брешей в безопасности эксплуатировались в течение нескольких лет.

Сегодня Apple ответила на сообщение в блоге Google Project Zero, чтобы предоставить клиентам полную информацию и развеять их опасения.

Apple утверждает, что атака была «узконаправленной», а не широкомасштабной эксплуатацией iPhone, как было заявлено. По данным Apple, пострадали менее десятка веб-сайтов, нацеленных на уйгуров-мусульман. Более того, Apple заявляет, что Google создал ложное впечатление о массовой эксплуатации, вызвав страх у владельцев iPhone.

Google также ошибочно указал продолжительность атак. Apple утверждает, что веб-сайты действовали примерно два месяца, а не два года, и уязвимости были устранены через 10 дней после того, как Apple узнала о них. Исправления уже находились в процессе разработки, когда Google связался с Apple.

Ниже приведено полное письмо Apple:

На прошлой неделе Google опубликовал сообщение в блоге об уязвимостях, которые Apple исправила для пользователей iOS в феврале. Мы получили отзывы от клиентов, обеспокоенных некоторыми заявлениями, и хотим убедиться, что все наши клиенты располагают достоверной информацией.

Во-первых, сложная атака была узконаправленной, а не широкомасштабной эксплуатацией iPhone «в массовом порядке», как было описано. Атака затронула менее дюжины веб-сайтов, ориентированных на уйгурскую общину. Независимо от масштаба атаки, мы чрезвычайно серьезно относимся к безопасности всех пользователей.

Публикация Google, выпущенная через шесть месяцев после выпуска исправлений для iOS, создает ложное впечатление о «массовой эксплуатации» с целью «мониторинга частной деятельности целых групп населения в режиме реального времени», разжигая страх среди всех пользователей iPhone, что их устройства были скомпрометированы. Этого никогда не было.

Во-вторых, все имеющиеся данные свидетельствуют о том, что эти веб-атаки действовали лишь в течение короткого периода, примерно двух месяцев, а не «двух лет», как подразумевает Google. Мы исправили указанные уязвимости в феврале, очень быстро отреагировав на проблему всего через 10 дней после получения информации. Когда Google обратился к нам, мы уже находились в процессе исправления эксплойтов.

Безопасность — это непрерывный процесс, и наши клиенты могут быть уверены, что мы работаем для них. Безопасность iOS не имеет себе равных, потому что мы несем полную ответственность за безопасность нашего оборудования и программного обеспечения. Наши команды по безопасности продуктов по всему миру постоянно совершенствуются, внедряя новые средства защиты и исправляя уязвимости, как только они обнаруживаются. Мы никогда не прекратим нашу неустанную работу по обеспечению безопасности наших пользователей.

По данным Google, веб-сайты, которые были нацелены на пользователей ‌iPhone‌, смогли с небольшими усилиями украсть личные данные, такие как сообщения, фотографии и GPS-местоположение, в режиме реального времени после посещения пользователем зараженного веб-сайта.

Google считает, что тысячи посетителей еженедельно заходили на эти веб-сайты в течение двух лет, а уязвимость присутствовала в iOS 10, iOS 11 и iOS 12. Apple устранила эти проблемы в iOS 12.1.4 еще в феврале 2019 года.

В своем заявлении для The Verge Google заявил, что поддерживает свой первоначальный отчет, несмотря на комментарии Apple.

Project Zero публикует технические исследования, направленные на углубление понимания уязвимостей безопасности, что приводит к лучшим стратегиям защиты. Мы поддерживаем наше углубленное исследование, которое было написано с фокусом на технические аспекты этих уязвимостей. Мы продолжим сотрудничать с Apple и другими ведущими компаниями, чтобы помочь людям оставаться в безопасности в Интернете.