Kun olemme säilyttäneet kaikki salaisuutemme päiväkirjoissa ja muistikirjoissa, jotka on valmistettu oikeasta paperista ja nahasta
Kissa ja hiiri
Turvallisuusasiantuntijatohjelmistokehittäjät pakotetaan jatkuvasti pelaamaan loputonta peliä hakkereiden, kuten kissan ja hiiren kanssa, etsimään heikkouksia, luomaan korjauksia, parantamaan ohjelmakoodia niin, että murtautua on mahdotonta. Hyökkääjät puolestaan etsivät myös heikkouksia, haavoittuvuuksia, mutta eivät korjaamaan sitä, vaan käyttää niitä tietojen varastamiseen. Jopa erittäin suuret ohjelmistoyritykset eivät pysty ennakoimaan kaikkia kohtia, mitä monimutkaisempi ohjelmisto, sitä suurempi mahdollisuus puuttua jotain. Mielenkiintoista on, että etenkin iOS: ssä on sellaisia haavoittuvuuksia, jotka ovat tunnistaneet vain hakkerit, eikä kukaan muu. Yksi näistä ei Apple-asiantuntijoiden löytänyt useita vuosia, kunnes Googlen Project Zero -palvelu löysi tämän haavoittuvuuden.
Tämä projekti on saanut nimensä Viljahaavoittuvuuksia (nolla päivä) eli äskettäin löydettyjä haavoittuvuuksia, tuntematon, nolla päivä. Itse nolla päivä on aika, jolloin kehittäjä saa vihdoin selville olemassa olevan ongelman. Tästä hetkestä lähtien, aika on mennyt, yrityksen maine riippuu siitä, kuinka nopeasti ne onnistuvat sulkemaan tietoturva-aukon, jolloin haavoittuvuus tulee julkiseksi. Project Zero -tiimi toimii eri suuntiin, ei vain sen ohjelmistojen kanssa, minkä vuoksi he löysivät ongelman iOS: ssä.
Halkeamisivustot
Itse asiassa sivustot itse ja niiden omistajat, kutenyleensä eivät tiedä, että niistä on tullut vaarallisia. Hakkerit käyttävät palvelinheikkouksia käyttämällä haittaohjelmia niihin, jotka määrittelevät vierailijan eli laitteen ja korvaavat suorittamiseen tarvittavan koodin. Kun iPhonen tai muun Apple-tuotteen omistaja laskeutuu tällaiselle sivustolle (ne ovat melko kunnollisia, jopa hyödyllisiä, se voi joskus olla valtion järjestöjä), koodi suorittaa hyökkäyksen laitteeseen. Kun onnistunut hyökkäys älypuhelimeen, haittaohjelmat asennettiin. Troijalainen alkaa heti kerätä tietoja ja lähettää ne hallintapalvelimelle.
Nämä viestit sisältävät kaikki yhteystiedotolla kuvia, paikkatietoja, asennettujen sovellusten tietoja, mukaan lukien pankkisovellukset, sosiaaliset verkostot, pikaviestimet. Tyypillisesti tietojen lähetysväli on kerran minuutissa. Koodi injektoitiin sivustoihin, jotka käyttivät kokonaisvaltaista lähestymistapaa laitteiden hyökkäämiseen yli kymmenen haavoittuvuuden avulla. Joku he suljetaan päivityksen jälkeen, joku ei. Suurin osa haavoittuvuuksista käytettiin Safarissa. Asiantuntijat eivät nimenneet niiden sivustojen osoitteita, jotka ovat osallistuneet iPhonen hakkerointiin, mutta sivuston omistajille, ylläpitäjille ja asiaankuuluville palveluille ilmoitettiin. Tuhannet ihmiset vierailivat näillä sivustoilla päivittäin.
Lisäksi havaittuja haavoittuvuuksia on hyödynnetty yli vuoden ajan, ja tehokkain tapa käsitellä tällaisia uhkia on käyttöjärjestelmän ja sovellusten oikea-aikainen päivitys.