Il bug di iMessage ti consente di essere violato con un solo messaggio

Casa » Apple

Icona del tempo di lettura 3 minuto. leggere

Icona del calendario Edizione del

by Atiya Davids 

pubblicato su

Condividi questo articolo

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

Alla conferenza sulla sicurezza di Black Hat a Las Vegas, la ricercatrice di Google Project Zero Natalie Silvanovich ha dimostrato bug privi di interazione nel client iMessage iOS di Apple che potrebbero essere sfruttati per ottenere il controllo del dispositivo di un utente.

Apple ha rilasciato alcune patch per i bug, ma devono ancora affrontarle tutte.

Questi possono essere trasformati nel tipo di bug che eseguiranno il codice e potranno essere eventualmente utilizzati per cose armate come l'accesso ai tuoi dati.

Quindi lo scenario peggiore è che questi bug vengano utilizzati per danneggiare gli utenti.

Silanovich ha lavorato con il membro di Project Zero Samuel Groß per indagare se altre forme di messaggistica, inclusi SMS, MMS e posta vocale visiva, fossero state compromesse. Dopo il reverse engineering e la ricerca di difetti, ha scoperto numerosi bug sfruttabili in iMessage.

Si pensa che il motivo sia che iMessage offre una tale gamma di opzioni e funzionalità di comunicazione, che rendono più probabili errori e punti deboli, ad esempio Animoji, rendering di file come foto e video e integrazione con altre app, tra cui Apple Pay, iTunes, Airbnb ecc.

Un bug senza interazione che si è distinto è stato quello che ha permesso agli hacker di estrarre dati dai messaggi di un utente. Il bug consentirebbe all'attaccante di inviare testi appositamente predisposti al bersaglio, in cambio del contenuto dei propri messaggi SMS o immagini, ad esempio.

Sebbene iOS di solito disponga di protezioni che bloccherebbero l'attacco, questo bug sfrutta la logica sottostante del sistema, quindi le difese di iOS lo interpretano come legittimo.

Poiché questi bug non richiedono alcuna azione da parte della vittima, sono favoriti dai fornitori e dagli hacker di stati nazionali. Silanovich ha scoperto che le vulnerabilità rilevate potrebbero potenzialmente valere decine di milioni di dollari sul mercato degli exploit.

Bug come questo non sono stati resi pubblici per molto tempo.

C'è molta superficie di attacco aggiuntiva in programmi come iMessage. I singoli bug sono ragionevolmente facili da correggere, ma non puoi mai trovare tutti i bug nel software e ogni libreria che usi diventerà una superficie di attacco. Quindi quel problema di progettazione è relativamente difficile da risolvere.

Anche se non ha riscontrato bug simili in Android. li ha trovati anche in WhatsApp, Facetime e nel protocollo di videoconferenza webRTC.

Forse questa è un'area che si perde in sicurezza.

C'è un'enorme concentrazione sull'implementazione di protezioni come la crittografia, ma non importa quanto sia buona la tua crittografia se il programma ha bug sul lato ricevente.

Silanovich ti consiglia di mantenere aggiornati il ​​sistema operativo e le app del telefono, poiché Apple ha recentemente corretto tutti i bug di iMessage che ha presentato, in iOS 12.4 e macOS 10.14.6.

Fonte: cablata

Maggiori informazioni sugli argomenti: mela, insetto, iMessage

Atiya Davids

Atiya Davids Scudo

Notizie Reporter

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *