iMessage-fejlen lader dig blive hacket med kun én besked

Home » Apple

Ikon for læsetid 3 min. Læs

Kalenderikon Udgivet den

by Atiya Davids 

offentliggjort den

Del denne artikel

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links. Værktøjstip-ikon

Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere

På Black Hat-sikkerhedskonferencen i Las Vegas demonstrerede Google Project Zero-forsker Natalie Silvanovich interaktionsfri fejl i Apples iOS iMessage-klient, som kunne udnyttes til at få kontrol over en brugers enhed.

Apple udgav nogle patches til fejlene, men mangler stadig at håndtere dem alle.

Disse kan omdannes til den slags fejl, der vil udføre kode og i sidste ende være i stand til at blive brugt til bevæbnede ting som at få adgang til dine data.

Så det værste tilfælde er, at disse fejl bruges til at skade brugere.

Silanovich arbejdede sammen med Project Zero-medlem Samuel Groß for at undersøge, om andre former for meddelelser inklusive SMS, MMS og visuel voicemail var kompromitteret. Efter reverse engineering og på udkig efter fejl, opdagede hun flere udnyttelige fejl i iMessage.

Årsagen menes at være, at iMessage tilbyder en sådan række af kommunikationsmuligheder og funktioner, som gør fejl og svagheder mere sandsynlige - fx Animojis, gengivelse af filer som billeder og videoer og integration med andre apps, herunder Apple Pay, iTunes, Airbnb osv.

En interaktionsfri fejl, der skilte sig ud, var en, der gjorde det muligt for hackere at udtrække data fra en brugers beskeder. Fejlen ville gøre det muligt for angriberen at sende specifikt udformede tekster til målet i bytte for indholdet af deres SMS-beskeder eller billeder, for eksempel.

Mens iOS normalt har beskyttelser på plads, der ville blokere angrebet, udnytter denne fejl systemets underliggende logik, så iOS's forsvar fortolker det som legitimt.

Da disse fejl ikke kræver nogen handling fra offeret, foretrækkes de af leverandører og nationalstatshackere. Silanovich fandt ud af, at de fundne sårbarheder potentielt kunne have en værdi af titusindvis af millioner dollars på udnyttelsesmarkedet.

Sådanne fejl har ikke været offentliggjort i lang tid.

Der er en masse ekstra angrebsflade i programmer som iMessage. De enkelte fejl er rimelig nemme at lappe, men du kan aldrig finde alle fejlene i softwaren, og hvert bibliotek du bruger bliver en angrebsoverflade. Så det designproblem er relativt svært at løse.

Selvom hun ikke stødte på lignende fejl i Android. hun har også fundet dem i WhatsApp, Facetime og videokonferenceprotokollen webRTC.

Måske er dette et område, der bliver savnet i sikkerheden.

Der er et enormt fokus på implementeringen af ​​beskyttelser som kryptografi, men det er lige meget, hvor god din krypto er, hvis programmet har fejl i modtagerenden.

Silanovich råder dig til at holde dit telefonoperativsystem og dine apps opdateret, da Apple for nylig har rettet alle iMessage-fejl, som hun har præsenteret, i iOS 12.4 og macOS 10.14.6.

Kilde: kabel

Mere om emnerne: æble, bug, iMessage

Atiya Davids

Atiya Davids Shield

Nyheds journalist

Giv en kommentar

Din e-mail adresse vil ikke blive offentliggjort. Krævede felter er markeret *