Новая цепочка 0-day для iPhone открыла путь шпионскому софту

Екатерина Быстрова 05 Декабря 2025 - 10:34

...

Несмотря на санкции и регулярные разоблачения, коммерческие шпионские компании продолжают работать на удивление изощрённо. Новый отчёт Google Threat Intelligence Group (GTIG) показывает: один из самых известных игроков рынка — Intellexa — не просто выжил под давлением, а превратился в одного из крупнейших охотников за уязвимостями нулевого дня.

Intellexa, созданная как поставщик шпионского софта и прославившаяся инструментом Predator, сумела выстроить гибкую инфраструктуру, обходить международные ограничения и собирать цепочки эксплойтов быстрее большинства конкурентов.

По данным Google, с 2021 года компания стоит за 15 уникальными zero-day — внушительная доля от всех критических 0-day, которые TAG обнаруживала за эти годы.

Речь идёт о возможности удалённого выполнения кода, выхода за пределы песочницы, повышении прав в iOS, Android, Chrome и даже архитектуре ARM Mali.

Причём Intellexa всё чаще не пишет эксплойты сама: компания активно закупает части цепочек у внешних разработчиков, что указывает на целую скрытую «экосистему поставщиков» внутри индустрии коммерческого слежения.

Особое внимание исследователей привлекла сложная цепочка атак на iOS, которую внутри Intellexa называют smack. Она включает инструмент для анализа бинарников Mach-O прямо в памяти и позволяет загружать и выполнять код без записи на устройство.

Начинается атака с уязвимости CVE-2023-41993 в Safari, позволяющей получить произвольный доступ к памяти. Любопытная деталь: тот же компонент JSKit, лежащий в основе RCE, ранее замечали в кампаниях якобы российских киберпреступников. Похоже, Intellexa купила этот эксплойт на стороне.

Судя по отладочным строкам, компания располагает как минимум семью вариантами эксплойтов для iOS. После первичного проникновения цепочка использует ещё две уязвимости — CVE-2023-41991 и CVE-2023-41992 — чтобы получить системные привилегии. Финальный модуль PREYHUNTER разворачивает шпионские компоненты: watcher и helper.

Watcher выполняет функции собственной «системы безопасности» — отслеживает подозрительные нюансы вроде включённого режима разработчика или установленных защитных приложений и прекращает атаку, если что-то идёт не так. Helper обеспечивает закрепление в системе и выполняет разведку: перехват VoIP-звонков, кейлоггинг, доступ к камере.

По словам Google, такие модули работают как фильтр: операторы сначала проверяют, действительно ли заражение прошло успешно, и только потом запускают полноценный Predator.

Intellexa расширяет и способы доставки атак. Исследователи зафиксировали использование рекламных сетей и сторонних площадок для скрытого снятия цифровых отпечатков пользователей и перенаправления их на вредоносные серверы.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 16:07

Домашние пользователи Защита персональных данных

Google Chrome не спасает от слежки даже без cookies

Эпоха, когда приватность в браузере сводилась к вопросу «включены ли cookies», окончательно ушла в прошлое. Новый технический разбор проблем конфиденциальности в Google Chrome показывает: современные методы отслеживания стали намного продуманнее.

Теперь сайтам уже не обязательно полагаться только на cookies, они могут собирать цифровой отпечаток пользователя с помощью разных трюков с хранилищами браузера и даже утечек через HTTP-заголовки.

Цифровой отпечаток — это способ собрать множество мелких технических особенностей браузера и устройства, а затем сложить их в довольно уникальный профиль.

Даже если пользователь очистит cookies, такой «отпечаток» нередко всё равно остаётся устойчивым и позволяет распознать юзера повторно.

Как отмечается в материале, исследование 2025 года показало, что canvas fingerprinting использовался на 12,7% из 20 тысяч самых популярных сайтов, попавших в выборку. Это уже вполне рабочая и распространённая практика, а не редкий эксперимент для узкого круга специалистов.

У Chrome, конечно, есть определённые попытки сократить объём пассивно собираемых данных. Например, браузер ограничил часть информации в классической строке User-Agent и перенёс больше сведений в механизм User-Agent Client Hints. Но полностью проблема от этого не исчезла. Сайты по-прежнему могут запрашивать у браузера подробные сведения через navigator.userAgentData.getHighEntropyValues().

В результате им доступны такие детали, как архитектура устройства, разрядность, версия платформы и полная версия браузера, а всё это отлично усиливает точность цифрового отпечатка.

Отдельная история — сигналы, которые приходят из графических и мультимедийных API. Самыми полезными для отслеживания остаются canvas, WebGL и audio processing. Всё дело в том, что разные устройства и системы чуть-чуть по-разному рисуют изображения и обрабатывают звук. Для обычного пользователя эти различия незаметны, но они помогают отличить один компьютер от другого.

И это ещё не всё. Угрозы для приватности скрываются не только в JavaScript API. Даже HTTP-заголовки могут выдавать лишнюю информацию или помогать отслеживать пользователя между визитами. В качестве примера в материале приводится уязвимость CVE-2025-4664 в Chrome: она была связана с обработкой заголовка Link и позволяла навязать слишком мягкую политику referrer, из-за чего в межсайтовых запросах могли утекать полные строки запросов. А это уже потенциальный путь к раскрытию токенов. Позже Google закрыла проблему в Chrome 136.

Отдельно авторы материала напоминают и о больших переменах в политике Google по cookies. Долгий план по отказу от сторонних «печенек» в Chrome фактически был свёрнут ещё в июле 2024 года, а более широкий проект Privacy Sandbox затем вообще прекратили развивать в 2025 году на фоне слабого принятия рынком и критики со стороны экосистемы.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!