Stor iPhone-bakdør sto vidåpent i to år

Apples konkurrent Google avslører nå detaljer rundt et sikkerhetshull som åpnet en bakdør på iPhone-telefoner i over to år. Hullet ble tettet i februar.

KJEMPEHULL: I to år var iPhone ubeskyttet mot ondsinnet programvare. Da Google gjorde Apple oppmerksom på det, ble sikkerhetshullet tettet på seks dager. Foto: Justin Sullivan / AFP / NTB Scanpix
KJEMPEHULL: I to år var iPhone ubeskyttet mot ondsinnet programvare. Da Google gjorde Apple oppmerksom på det, ble sikkerhetshullet tettet på seks dager. Foto: Justin Sullivan / AFP / NTB ScanpixVis mer

I minst to år benyttet hackere seg av ulike nettsteder for å installere ondsinnet programvare som fikk tilgang til iPhone-brukernes innhold.

– Bare det å besøke et hacket nettsted var nok til at enheten ble angrepet. Hvis angrepet var vellykket, ble det installert ondsinnet programvare, heter det i et blogginnlegg fra Googles sikkerhetsenhet Project Zero torsdag.

Bilder, kontakter, meldinger …

Project Zeros sikkerhetsekspert Ian Beer beskriver sikkerhetshullet i detalj. Han navngir ingen av nettstedene som hackerne brukte for å spre programvaren, men opplyser at de infiserte nettstedene hadde tusener av besøkende hver uke.

Telefoner som hadde fått den ondsinnede programvaren installert, sendte fra seg opplysninger om brukernes geografiske plassering i sanntid til en «kommando- og kontrollserver» hvert minutt. Hackerne fikk også tilgang til iPhone-brukeres kontakter, bilder og krypterte meldingstjenester som Telegram, WhatsApp og iMessage. Også Google Hangouts og Gmail på iPhone-mobilene var berørt.

Flesteparten av de tolv sårbarhetene som Googles eksperter har funnet, var i iPhones standardnettleser Safari, opplyser Beer. Han legger til at sårbarhetene fantes i nesten hver versjon av operativsystemene, fra iOS 10 til iOS 12.

Tettet på seks dager

Google informerte Apple 1. februar og gav Apple syv dager på å tette feilen, mot 30 dager som er vanlig, rett og slett fordi sikkerhetshullet var så alvorlig, ifølge The Verge.

Apple tettet sikkerhetsbristen med en oppdatering for iOS 12.1.4 seks dager senere. Oppdateringen rettet også en sikkerhetsfeil i FaceTime.

Apple ønsker overfor BBC ikke å kommentere saken.