Satura rādītājs:
Kā katru gadu, Black Hat drošības konferencē, kas notiek Lasvegasā, tiek atklāts daudz drošības trūkumu un ekspluatāciju, kas melnajā tirgū izmaksātu miljonus un miljonus. Mēs nesen runājām par kļūdu pakalpojumā WhatsApp, kas ļauj viltot jūsu ziņojumus, un tagad ir pienācis laiks runāt par iPhone un operētājsistēmu iOS
Pētnieki no Google Project Zero grupas ir atklājuši kļūdu pakalpojumā iMessage, kas ļauj uzbrucējam piekļūt iPhone tālrunim bez cietušā mijiedarbības Citiem vārdiem sakot, hakeri var iekļūt jūsu iPhone, neko nedarot. Šī izmantošana nozīmē, ka viņi var sabojāt jūsu mobilā tālruņa drošību, jums nav jānoklikšķina uz saites, jālejupielādē fails vai jānosūta ziņojums. Tāpēc svarīga ir lietas nopietnība.
Apple jau strādā, lai novērstu problēmu pakalpojumā iMessage
Hakeru iespēja attālināti pārņemt jūsu tālruņa vadību bez jūsu mijiedarbības ir ļoti nopietna, un Apple jau strādā pie šīs problēmas. Pētnieki ir meklējuši līdzīgas kļūdas SMS, MMS un balss ziņojumos, taču neko nav atraduši. Tomēr pakalpojumā iMessage to ir daudz, un Apple strādā, lai tos labotu. No Cupertino apliecina, ka viņi jau ir atrisinājuši 5 no tiem, taču vēl ir daudz koda, kas jāpārskata.
Kļūda ir radusies lietojumprogrammas rakstura dēļ, tāpēc, lai to pilnībā novērstu, būs jāveic daudz reverse engineering.Pakalpojumā iMessage atklātā ievainojamība ir patiešām sarežģīta, un tas ir ne tikai tāpēc, ka iMessage ļauj sūtīt failus, balss ziņas, fotoattēlus vai animācijas, bet arī tāpēc, ka integrācija ar trešo pušu lietojumprogrammām, piemēram, OpenTable vai Airbnb, padara problēmu kompleksu risinājumu. Šo integrāciju dēļ ir daudz veidu, kā iekļūt pa aizmugurējām durvīm.
Šāda kļūda melnajā tirgū izmaksātu miljoniem dolāru
iOS ir droša sistēma, kurai ir vairākas drošības pārbaudes. Tomēr šī izmantošana piekļūst operētājsistēmai, izmantojot aizmugures durvis un apiet drošību, upurim neatklājot uzbrucēju Vienkārši nosūtiet uz kontu iMessage konkrētu ziņojumu, ko serveri nepareizi interpretēs, dažu sekunžu laikā sniedzot uzbrucējam attālo piekļuvi.
Tas, ka uzbrukumam nav nepieciešama lietotāja iejaukšanās, tas ir ļoti bīstams, un, ja Google Project Zero komanda nebūtu atklājusi informāciju Apple, viņi būtu varējuši pārdot šo ekspluatāciju daudzi miljoni dolāru melnajā tirgūLai gan, acīmredzot, tas nenotiks…
