O número total de vítimas é desconhecido, mas pesquisadores do Project Zero - iniciativa do Google para a descoberta de vulnerabilidades cibernéticas - anunciaram a descoberta de uma "campanha para exploração de iPhones em massa". Por pelo menos dois anos, o grupo manteve uma rede de sites comprometidos, que infectavam os smartphones dos visitantes.
"Não havia discriminação de alvo. Apenas visitar o site hackeado era suficiente para o ataque ao seu dispositivo, e, se bem-sucedido, um implante de monitoramento era instalado", afirmou o pesquisador Ian Beer, no blog do Project Zero. "Estimamos que esses sites recebiam milhares de visitantes por semana."
A campanha fazia uso de 14 vulnerabilidades, sendo sete delas no Safari, navegador padrão dos dispositivos Apple, que cobriam praticamente todas as versões do iOS 10 ao iOS 12. Ao menos uma das falhas de segurança era "zero-day", ou seja, desconhecida pela fabricante e ainda sem correções. Os pesquisadores do Project Zero informaram a Apple no dia 1 de fevereiro, e a atualização do iOS, com as correções, foi liberada no dia 7 do mesmo mês.
Ao infectar os iPhones das vítimas, os hackers conseguiam executar códigos na raiz dos aparelhos. Para as vítimas, era impossível saber que estavam sendo monitoradas. Os atacantes tinham acesso a todas as bases de dados usadas por apps populares, incluindo os criptografados, como WhatsApp, Telegram, iMessage e Hangouts. Os atacantes também podiam acessar fotos e vídeos armazenados, contatos, localização em tempo real e e-mails. Credenciais e senhas de acesso para redes Wi-Fi e serviços, como as contas do Google, também eram coletadas.