iMessage-feil lar deg bli hacket med bare én melding
3 min. lese
Publisert på
Del denne artikkelen
Forbedre denne veiledningen
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
På Black Hat-sikkerhetskonferansen i Las Vegas demonstrerte Google Project Zero-forsker Natalie Silvanovich interaksjonsfrie feil i Apples iOS iMessage-klient som kunne utnyttes til å få kontroll over en brukers enhet.
Apple har gitt ut noen patcher for feilene, men har fortsatt ikke behandlet dem alle.
Disse kan gjøres om til den typen feil som vil kjøre kode og til slutt kunne brukes til våpenbeskyttede ting som å få tilgang til dataene dine.
Så det verste scenarioet er at disse feilene brukes til å skade brukere.
Silanovich jobbet sammen med Project Zero-medlem Samuel Groß for å undersøke om andre former for meldinger, inkludert SMS, MMS og visuell talepost, ble kompromittert. Etter omvendt utvikling og leting etter feil, oppdaget hun flere utnyttbare feil i iMessage.
Årsaken antas å være at iMessage tilbyr en slik rekke kommunikasjonsalternativer og funksjoner, som gjør feil og svakheter mer sannsynlig - f.eks Animojis, gjengivelse av filer som bilder og videoer og integrasjon med andre apper, inkludert Apple Pay, iTunes, Airbnb etc.
En interaksjonsløs feil som skilte seg ut var en som tillot hackere å trekke ut data fra en brukers meldinger. Feilen ville tillate angriperen å sende spesifikt utformede tekster til målet, for eksempel i bytte mot innholdet i deres SMS-meldinger eller bilder.
Mens iOS vanligvis har beskyttelse på plass som vil blokkere angrepet, utnytter denne feilen systemets underliggende logikk, så iOSs forsvar tolker det som legitimt.
Siden disse feilene ikke krever noen handling fra offeret, er de foretrukket av leverandører og nasjonalstatshackere. Silanovich fant ut at sårbarhetene som ble funnet potensielt kan være verdt titalls millioner dollar på utnyttelsesmarkedet.
Slike feil har ikke blitt offentliggjort på lenge.
Det er mye ekstra angrepsoverflate i programmer som iMessage. De enkelte feilene er rimelig enkle å lappe, men du finner aldri alle feilene i programvaren, og hvert bibliotek du bruker vil bli en angrepsoverflate. Så det designproblemet er relativt vanskelig å fikse.
Selv om hun ikke kom over lignende feil i Android. hun har også funnet dem i WhatsApp, Facetime og videokonferanseprotokollen webRTC.
Kanskje dette er et område som blir savnet i sikkerheten.
Det er et enormt fokus på implementering av beskyttelser som kryptografi, men det spiller ingen rolle hvor god kryptografi er hvis programmet har feil på mottakersiden.
Silanovich råder deg til å holde telefonens operativsystem og apper oppdatert, ettersom Apple nylig har rettet alle iMessage-feilene hun har presentert, i iOS 12.4 og macOS 10.14.6.
kilde: kablet
