Chyba iMessage vám umožní být napadeni pouze jednou zprávou
3 min. číst
Publikované dne
Sdílejte tento článek
Vylepšete tuto příručku
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Na bezpečnostní konferenci Black Hat v Las Vegas demonstrovala výzkumnice projektu Google Project Zero Natalie Silvanovich chyby bez interakce v klientovi iMessage pro iOS společnosti Apple, které lze zneužít k získání kontroly nad zařízením uživatele.
Apple vydal nějaké záplaty pro chyby, ale stále se s nimi všemi musí vypořádat.
Ty se dají proměnit v jakési chyby, které budou spouštět kód a budou moci být nakonec použity pro ozbrojené věci, jako je přístup k vašim datům.
Nejhorší scénář je tedy ten, že tyto chyby se používají k poškození uživatelů.
Silanovich spolupracoval s členem Project Zero Samuelem Großem, aby prozkoumal, zda nebyly kompromitovány jiné formy zasílání zpráv, včetně SMS, MMS a vizuální hlasové pošty. Po reverzním inženýrství a hledání nedostatků objevila v iMessage několik zneužitelných chyb.
Důvodem je pravděpodobně to, že iMessage nabízí takovou škálu komunikačních možností a funkcí, které s větší pravděpodobností dělají chyby a slabiny – např. Animoji, vykreslování souborů jako jsou fotografie a videa a integrace s dalšími aplikacemi, včetně Apple Pay, iTunes, Airbnb atd.
Chyba bez interakce, která vyčnívala, byla chyba, která hackerům umožňovala extrahovat data ze zpráv uživatele. Chyba by útočníkovi umožnila posílat cíleně speciálně vytvořené texty výměnou za obsah jejich SMS zpráv nebo například obrázky.
Zatímco iOS má obvykle ochranu, která by útok blokovala, tato chyba využívá základní logiku systému, takže ji obrana iOS interpretuje jako legitimní.
Vzhledem k tomu, že tyto chyby nevyžadují od oběti žádnou akci, jsou upřednostňovány prodejci a hackery z národních států. Silanovich zjistil, že nalezená zranitelnost by mohla mít hodnotu desítek milionů dolarů na trhu s využitím.
Takové chyby nebyly dlouho zveřejněny.
V programech, jako je iMessage, existuje mnoho dalších útočných ploch. Jednotlivé chyby lze poměrně snadno opravit, ale nikdy nemůžete najít všechny chyby v softwaru a každá knihovna, kterou používáte, se stane útočnou plochou. Takže problém s designem je poměrně obtížné opravit.
Zatímco v Androidu na podobné chyby nenarazila. našla je také v WhatsApp, Facetime a videokonferenčním protokolu webRTC.
Možná je to oblast, která z hlediska bezpečnosti chybí.
Hodně se zaměřujeme na implementaci ochran, jako je kryptografie, ale nezáleží na tom, jak kvalitní je vaše krypto, pokud má program chyby na přijímací straně.
Silanovich vám doporučuje udržovat operační systém telefonu a aplikace aktualizované, protože Apple nedávno opravil všechny chyby iMessage, které představila, v iOS 12.4 a macOS 10.14.6.
Zdroj: drátové
