Bug iMessage vă permite să fiți piratat cu un singur mesaj
3 min. citit
Publicat în data de
Distribuiți acest articol
Îmbunătățiți acest ghid
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
La conferința de securitate Black Hat din Las Vegas, cercetătorul Google Project Zero, Natalie Silvanovich, a demonstrat erori fără interacțiune în clientul iOS iMessage al Apple, care ar putea fi exploatate pentru a obține controlul asupra dispozitivului unui utilizator.
Apple a lansat câteva patch-uri pentru erori, dar încă nu le-a rezolvat pe toate.
Acestea pot fi transformate în felul de erori care vor executa cod și vor putea fi utilizate în cele din urmă pentru lucruri cu arme, cum ar fi accesarea datelor dvs.
Deci, cel mai rău caz este că aceste erori sunt folosite pentru a dăuna utilizatorilor.
Silanovich a lucrat cu Samuel Groß, membru al Proiectului Zero, pentru a investiga dacă alte forme de mesagerie, inclusiv SMS, MMS și mesagerie vocală vizuală, au fost compromise. După inginerie inversă și a căutat defecte, ea a descoperit mai multe erori exploatabile în iMessage.
Motivul se crede că iMessage oferă o astfel de gamă de opțiuni și funcții de comunicare, care fac mai probabil greșelile și punctele slabe - de exemplu, Animojis, redarea fișierelor precum fotografii și videoclipuri și integrarea cu alte aplicații, inclusiv Apple Pay, iTunes, Airbnb etc.
Un bug fără interacțiune care a ieșit în evidență a fost unul care a permis hackerilor să extragă date din mesajele unui utilizator. Bug-ul ar permite atacatorului să trimită texte special concepute către țintă, în schimbul conținutului mesajelor sau imaginilor lor SMS, de exemplu.
În timp ce iOS are de obicei protecții care ar bloca atacul, acest bug profită de logica de bază a sistemului, astfel încât apărarea iOS îl interpretează ca fiind legitim.
Deoarece aceste erori nu necesită nicio acțiune din partea victimei, ele sunt favorizate de vânzători și de hackeri din statul național. Silanovich a descoperit că vulnerabilitățile găsite ar putea valora zeci de milioane de dolari pe piața de exploatare.
Bug-uri ca acesta nu au fost făcute publice de mult timp.
Există o mulțime de suprafețe de atac suplimentare în programe precum iMessage. Bug-urile individuale sunt destul de ușor de corectat, dar nu puteți găsi niciodată toate erorile în software și fiecare bibliotecă pe care o utilizați va deveni o suprafață de atac. Deci problema de design este relativ dificil de rezolvat.
Deși ea nu a întâlnit erori similare în Android. le-a găsit și în WhatsApp, Facetime și protocolul de videoconferință webRTC.
Poate că aceasta este o zonă care este ratată în securitate.
Există o mare atenție asupra implementării de protecții precum criptografie, dar nu contează cât de bună este criptografie dacă programul are erori la capătul receptor.
Silanovich vă sfătuiește să mențineți actualizate sistemul de operare al telefonului și aplicațiile, deoarece Apple a corectat recent toate erorile iMessage pe care le-a prezentat, în iOS 12.4 și macOS 10.14.6.
Sursa: cu fir
