Назвал себя — и стал мишенью: iPhone ломают через никнеймы в iMessage

С конца 2024 года по весну 2025-го команда iVerify фиксировала серию необычных инцидентов на iPhone, принадлежащих представителям политических кампаний, средств массовой информации, технологических компаний и правительств в США и странах Европейского союза. Анализ поведения устройств выявил крайне редкие сбои в работе компонента iOS, характерные для Zero Click атак через iMessage — класса эксплойтов, не требующих взаимодействия со стороны пользователя. Подобная техника ранее системно не фиксировалась на территории США, что делает её появление тревожным прецедентом.

Форензика нескольких скомпрометированных устройств позволила обнаружить неизвестную ранее уязвимость в системном процессе «imagent». Этот процесс отвечает за взаимодействие iMessage с другими компонентами системы и обладает доступом к ряду чувствительных функций. Уязвимость, получившая условное обозначение NICKNAME, открывает путь к дальнейшей компрометации устройства и может служить базовым примитивом в полноценной цепочке эксплуатации.

Механизм атаки, по всей видимости, связан с особенностями работы функции установки никнеймов и аватаров в списке контактов iOS. При отправке большого числа быстрых обновлений никнейма через iMessage возникает ошибка типа use-after-free — один из классических видов повреждения памяти, позволяющий злоумышленнику переписать критические участки оперативной памяти и выполнить произвольный код. Хотя полный эксплойт не восстановлен, этот сбой даёт атакующему точку входа для дальнейших действий в системе.

iVerify подчёркивает, что сбои, связанные с NICKNAME, были зафиксированы исключительно на устройствах высокоценных целей. Всего в ходе анализа телеметрии с 50 000 iPhone исследователи обнаружили подобные сбои лишь в 0.0001% логов. Более того, на одном из устройств были зафиксированы массовое создание и удаление вложений в iMessage в течение нескольких секунд после аномального сбоя, что считается характерным поведением шпионских программ. В сочетании с такими сбоями это служит сильным косвенным индикатором успешной атаки.

Одно из устройств, на которых была зафиксирована активность, получило официальное Threat Notification от Apple, что подтверждает участие компании в расследовании и косвенно указывает на реальность угрозы. Уведомление было отправлено высокопоставленному чиновнику Европейского союза — именно на этом устройстве ранее наблюдались критические сбои, ассоциированные с возможной атакой через iMessage.

Всего специалисты iVerify выявили шесть устройств, которые, вероятно, стали целями злоумышленников. Четыре из них демонстрировали характерные сбои, связанные с NICKNAME, ещё два — явные признаки успешного взлома. У всех жертв была одна общая черта: они либо ранее подвергались атакам со стороны китайской группировки Salt Typhoon , либо занимались бизнесом, вызывающим интерес со стороны китайских властей, либо выступали с открытой критикой действий Коммунистической партии Китая.

Исследователи подчёркивают, что, несмотря на наличие множества косвенных улик, у них нет технической возможности точно атрибутировать атаку или восстановить полную цепочку эксплуатации. Тем не менее, совокупность факторов указывает на возможное участие структур, связанных с Китаем.

Сравнительный анализ версий операционной системы показывает, что уязвимость была устранена в обновлении iOS 18.3.1. Это означает, что конкретный эксплойт, использующий NICKNAME, был закрыт. Однако остаётся вероятность того, что другие звенья атакующей цепочки всё ещё активны, и часть инфраструктуры продолжает функционировать. Именно по этой причине команда iVerify раскрывает только ту часть данных, в достоверности которых уверена, и продолжает расследование.

Особое внимание специалисты уделяют общему выводу: если устройство скомпрометировано, ни одно приложение — будь то Signal , Gmail или любой другой зашифрованный мессенджер — не способно обеспечить приватность. Инцидент вновь напомнил о важности системной защиты самих устройств, а не только каналов связи. Это особенно критично на фоне более раннего инцидента, получившего название SignalGate, где также шла речь о взломе устройства, а не канала.

Выводы iVerify были дополнительно проверены и подтверждены независимыми специалистами в области безопасности iOS. По их мнению, представленные данные убедительно демонстрируют, что угроза компрометации мобильных устройств — это не теория, а реальность, и она уже касается США и Европы.