Forskare säger att misstänkta nationalstatshackare infekterade Apple iPhones med spionprogram under två år i vad säkerhetsexperter i fredags kallade ett alarmerande säkerhetsfel för ett företag vars telefonkort är privatliv.

Bara ett besök på en av ett litet antal nedsmutsade webbplatser kan infektera en iPhone med ett implantat som kan skicka smartphoneägarens textmeddelanden, e-post, foton och platsdata i realtid till cyberspionerna bakom operationen.

"Detta är definitivt den allvarligaste iPhone-hackincidenten som någonsin har uppmärksammats av allmänheten, både på grund av den urskillningslösa inriktningen och mängden data som äventyras av implantatet, " sa den tidigare amerikanska regeringens hacker Jake Williams, presidenten för Rendition Security.

Meddelat sent i torsdags av Google-forskare, den sista av sårbarheterna åtgärdades tyst av Apple i februari, men först efter att tusentals iPhone-användare troddes exponerade under mer än två år.

Forskarna identifierade inte de webbplatser som användes för att se spionprogrammet eller deras plats. De sa inte heller vem som låg bakom cyberspionaget eller vilken befolkning som var målet, men experter sa att operationen hade kännetecknen för en nationalstatlig insats.

Williams sa att spionprogramsimplantatet inte skrevs för att överföra stulen data säkert, vilket tyder på att hackarna inte var oroliga för att bli gripna. Det tyder på att en auktoritär stat låg bakom. Han spekulerade i att det troligen användes för att rikta in sig på politiska dissidenter.

Känsliga data som spionprogrammet nådde inkluderade WhatsApp, iMessage och Telegram textmeddelanden, Gmail, foton, kontakter och plats i realtid – i princip alla databaser på offrets telefon. Medan meddelandeapplikationerna kan kryptera data under överföring, den är läsbar i vila på iPhones.

Google-forskaren Ian Beer sa i en blogg som publicerades sent på torsdagen att upptäckten borde skingra alla föreställningar om att det kostar en miljon dollar att framgångsrikt hacka en iPhone. Det är en referens till fallet med en dissident i Förenade Arabemiraten vars iPhone infekterades 2016 med så kallade zero-day exploits, som har varit kända för att få så höga priser.

"Zero day" hänvisar till det faktum att sådana utnyttjande är okända för utvecklarna av den drabbade programvaran, och därför har de inte haft tid att utveckla patchar för att fixa det.

Upptäckten, involverar 14 sådana sårbarheter, gjordes av Google-forskare vid Project Zero, som letar efter säkerhetsbristerna i programvara och mikroprocessors fasta programvara, oberoende av sin tillverkare, att brottslingar, statligt sponsrade hackare och underrättelsetjänster använder.

"Detta borde fungera som en väckarklocka till folk, sade Will Strafach, en mobil säkerhetsexpert med Sudo Security. "Vem som helst på vilken plattform som helst kan potentiellt bli infekterad med skadlig programvara."

Beer sa att hans team uppskattade att de infekterade webbplatserna som används i de "urskillningslösa vattenhålsattackerna" tar emot tusentals besökare per vecka. Han sa att teamet samlade in fem separata kedjor av bedrifter som täcker Apples iOS-system så långt tillbaka som version 10, släpptes 2016.

Apple svarade inte på förfrågningar om kommentarer om varför de inte upptäckte sårbarheterna på egen hand och om de kan försäkra användarna om att en sådan allmän attack inte kunde hända igen. Integritetssäkring är central för Apples varumärke.

Varken Google eller Beer svarade på frågor om angriparna eller målen, även om Beer gav en ledtråd i sitt blogginlägg:"Att bli riktad kan betyda helt enkelt att vara född i en viss geografisk region eller att vara en del av en viss etnisk grupp."

Säkerhetschefen Matt Lourens på Check Point Software Technologies kallade utvecklingen för en alarmerande spelomvandlare. Han sa att medan iPhone-ägare som tidigare kompromissat med noll dagar var värdefulla mål, en mer utbredd sådd av spionprogram till en lägre kostnad per infektion har nu visat sig vara möjlig.

"Detta borde absolut omforma hur företag ser på användningen av mobila enheter för företagsapplikationer, och den säkerhetsrisk det innebär för individen och/eller organisationen, sa Lourens i ett mejl.

I sitt blogginlägg, Google-forskaren Beer varnade för att absolut digital säkerhet inte kan garanteras.

Smartphone-användare måste i slutändan "vara medvetna om det faktum att massexploatering fortfarande existerar och bete sig därefter." han skrev, "att behandla sina mobila enheter som båda integrerade i deras moderna liv, men också som enheter som när de äventyras, kan ladda upp varje åtgärd till en databas för att eventuellt användas mot dem."

© 2019 Associated Press. Alla rättigheter förbehållna.