Съдържание:
Както всяка година, на конференцията за сигурност на Black Hat, проведена в Лас Вегас, се откриват много пропуски в сигурността и експлойти, които биха стрували милиони и милиони на черния пазар. Наскоро говорихме за грешка в WhatsApp, която позволява вашите съобщения да бъдат фалшифицирани и сега е време да поговорим за iPhone и операционната система iOS
Изследователи от групата Google Project Zero са открили грешка в iMessage, която позволява на нападател достъп до iPhone без взаимодействие с жертвата С други думи, хакерите могат да проникнат във вашия iPhone, без да се налага да правят нищо. Този експлойт означава, че те могат да нарушат сигурността на вашия мобилен телефон, без да е необходимо да щракнете върху връзка, да изтеглите файл или да изпратите съобщение. Следователно сериозността на въпроса е важна.
Apple вече работи за отстраняване на проблема в iMessage
Възможността на хакерите да поемат дистанционно управлението на телефона ви без никакво взаимодействие от ваша страна е много сериозно и Apple вече работи по проблема. Изследователите са търсили подобни грешки в SMS, MMS и гласови съобщения, но не са открили нищо. В iMessage обаче има много и Apple работи за отстраняването им. От Купертино уверяват, че вече са разрешили 5 от тях, но все още има много код за преглед.
Грешката се дължи на естеството на приложението, така че ще са необходими много обратно инженерство, за да се коригира напълно.Уязвимостта, открита в iMessage, е наистина сложна и не само защото iMessage позволява изпращане на файлове, гласови съобщения, снимки или анимации, но и защото интеграцията с приложения на трети страни като OpenTable или Airbnb прави проблема комплексно решение. Има много начини да влезете през задната врата поради тези интеграции.
Подобна грешка би струвала милиони долари на черния пазар
iOS е защитена система, която се радва на много проверки за сигурност. Този експлойт обаче осъществява достъп до операционната система през задна врата и заобикаля сигурността, без жертвата да открие нападателя Просто изпратете конкретно съобщение до акаунт iMessage, което сървърите ще изтълкуват погрешно, предоставяйки на атакуващия отдалечен достъп за няколко секунди.
Това, че атаката не изисква взаимодействие с потребителя, я прави много опасна и ако екипът на Google Project Zero не беше разкрил подробностите на Apple те можеха да продадат този експлойт за много милиони долари на черния пазарМакар че очевидно това няма да се случи...
