Obsah:
Ako každý rok, na bezpečnostnej konferencii Black Hat, ktorá sa konala v Las Vegas, sa objavilo množstvo bezpečnostných chýb a exploitov, ktoré by na čiernom trhu stáli milióny a milióny. Nedávno sme hovorili o chybe v WhatsApp, ktorá umožňuje falšovanie vašich správ, a teraz je čas hovoriť o iPhone a operačnom systéme iOS
Výskumníci zo skupiny Google Project Zero objavili chybu v iMessage, ktorá umožňuje útočníkovi prístup k iPhonu bez interakcie obete Inými slovami, hackeri sa môžu dostať do vášho iPhone bez toho, aby museli čokoľvek urobiť. Tento exploit znamená, že môžu prelomiť bezpečnosť vášho mobilu bez toho, aby ste museli kliknúť na odkaz, stiahnuť súbor alebo poslať správu. Preto je dôležitá závažnosť veci.
Apple už pracuje na odstránení problému v iMessage
To, že hackeri môžu na diaľku prevziať kontrolu nad vaším telefónom bez akejkoľvek vašej interakcie, je veľmi vážne a Apple už na probléme pracuje. Výskumníci hľadali podobné chyby v SMS, MMS a hlasových správach, ale nič nenašli. V iMessage je ich však veľa a Apple pracuje na ich oprave. From Cupertino uisťuje, že už 5 z nich vyriešilo, ale stále je tu veľa kódu na kontrolu.
Chyba je spôsobená povahou aplikácie, takže na jej úplné odstránenie bude potrebné veľa reverzného inžinierstva.Zraniteľnosť nájdená v iMessage je skutočne komplexná a nie je to len preto, že iMessage umožňuje odosielanie súborov, hlasových správ, fotografií alebo animoji, ale aj preto, že integrácia s aplikáciami tretích strán, ako sú OpenTable alebo Airbnb, robí problém komplexným riešením. Vďaka týmto integráciám existuje mnoho spôsobov, ako sa dostať dnu zadnými dverami.
Takáto chyba by stála milióny dolárov na čiernom trhu
iOS je bezpečný systém, ktorý podlieha mnohým bezpečnostným kontrolám. Toto zneužitie však pristupuje k operačnému systému cez zadné vrátka a obchádza zabezpečenie bez toho, aby obeť odhalila útočníka Jednoducho odošlite na účet iMessage konkrétnu správu, ktorú servery nesprávne interpretujú, poskytnúť útočníkovi vzdialený prístup v priebehu niekoľkých sekúnd.
To, že útok nevyžaduje žiadnu interakciu používateľa, ho robí veľmi nebezpečným a ak by tím Google Project Zero neprezradil podrobnosti spoločnosti Apple mohli predať tento exploit za veľa miliónov dolárov na čiernom trhuAj keď sa to, samozrejme, nestane...