iMessage bug omogućuje da vas hakiraju samo jednom porukom
3 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Na sigurnosnoj konferenciji Black Hat u Las Vegasu, istraživačica Google Project Zero Natalie Silvanovich demonstrirala je greške bez interakcije u Appleovom iOS iMessage klijentu koje bi se mogle iskoristiti za dobivanje kontrole nad korisnikovim uređajem.
Apple je objavio neke zakrpe za bugove, ali još uvijek ih sve treba riješiti.
Oni se mogu pretvoriti u vrstu bugova koji će izvršavati kod i na kraju se moći koristiti za naoružane stvari poput pristupa vašim podacima.
Dakle, najgori je scenarij da se te greške koriste za nanošenje štete korisnicima.
Silanovich je radio s članom Project Zero Samuelom Großom kako bi istražio jesu li kompromitirani drugi oblici slanja poruka, uključujući SMS, MMS i vizualnu govornu poštu. Nakon obrnutog inženjeringa i traženja nedostataka, otkrila je više grešaka koje je moguće iskoristiti u iMessageu.
Smatra se da je razlog to što iMessage nudi toliki raspon komunikacijskih opcija i značajki koje čine pogreške i slabosti vjerojatnijim - npr. Animoji, renderiranje datoteka poput fotografija i videozapisa te integracija s drugim aplikacijama, uključujući Apple Pay, iTunes, Airbnb itd.
Istaknula se greška bez interakcije koja je hakerima omogućila da izvuku podatke iz poruka korisnika. Bug bi omogućio napadaču da pošalje posebno izrađene tekstove na metu, u zamjenu za sadržaj njihovih SMS poruka ili slika, na primjer.
Iako iOS obično ima ugrađene zaštite koje bi blokirale napad, ovaj bug iskorištava prednost temeljne logike sustava, pa ga iOS-ova obrana tumači kao legitimna.
Budući da ove bugove ne zahtijevaju nikakvu radnju od žrtve, favoriziraju ih dobavljači i hakeri iz nacionalnih država. Silanovich je otkrio da bi pronađene ranjivosti potencijalno mogle vrijediti desetke milijuna dolara na eksploatskom tržištu.
Ovakvi bugovi se dugo nisu javno objavljivali.
Postoji mnogo dodatne površine za napad u programima kao što je iMessage. Pojedinačne greške je prilično lako zakrpati, ali nikada ne možete pronaći sve bugove u softveru, a svaka biblioteka koju koristite postat će površina napada. Dakle, taj problem dizajna je relativno teško riješiti.
Iako nije naišla na slične bugove u Androidu. također ih je pronašla u WhatsAppu, Facetimeu i webRTC protokolu za video konferencije.
Možda je ovo područje koje nedostaje u sigurnosti.
Ogroman je fokus na implementaciji zaštite poput kriptografije, ali nije važno koliko je vaša kripta dobra ako program ima bugove na strani koja prima.
Silanovich vam savjetuje da ažurirate operativni sustav i aplikacije vašeg telefona, jer je Apple nedavno zakrpio sve iMessage bugove koje je predstavila, u iOS 12.4 i macOS 10.14.6.
Izvor: žični
