Chyba iMessage vám umožňuje byť napadnutý iba jednou správou
3 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
Na bezpečnostnej konferencii Black Hat v Las Vegas výskumníčka projektu Google Project Zero Natalie Silvanovich demonštrovala chyby bez interakcie v klientovi iMessage iOS od Apple, ktoré by bolo možné zneužiť na získanie kontroly nad zariadením používateľa.
Spoločnosť Apple vydala niekoľko záplat pre chyby, ale stále sa s nimi všetkými nevyrovnala.
Tieto môžu byť premenené na druh chýb, ktoré spustia kód a nakoniec sa dajú použiť na veci so zbraňami, ako je prístup k vašim údajom.
Najhorším scenárom je teda to, že tieto chyby sa používajú na poškodenie používateľov.
Silanovich spolupracoval s členom projektu Zero Samuelom Großom, aby zistil, či neboli ohrozené iné formy správ vrátane SMS, MMS a vizuálnej hlasovej schránky. Po reverznom inžinierstve a hľadaní nedostatkov objavila viacero zneužiteľných chýb v iMessage.
Dôvodom je pravdepodobne to, že iMessage ponúka takú škálu komunikačných možností a funkcií, pri ktorých je väčšia pravdepodobnosť chýb a slabín – napríklad Animojis, vykresľovanie súborov, ako sú fotografie a videá a integrácia s inými aplikáciami, vrátane Apple Pay, iTunes, Airbnb atď.
Chyba bez interakcie, ktorá vynikala, bola chyba, ktorá umožňovala hackerom extrahovať údaje zo správ používateľa. Chyba by útočníkovi umožnila posielať cielene špecificky vytvorené texty, napríklad výmenou za obsah ich SMS správ alebo obrázkov.
Zatiaľ čo iOS má zvyčajne zavedené ochrany, ktoré by útok blokovali, táto chyba využíva základnú logiku systému, takže obrana iOS ju interpretuje ako legitímnu.
Keďže tieto chyby nevyžadujú od obete žiadnu akciu, uprednostňujú ich predajcovia a hackeri z národných štátov. Silanovich zistil, že nájdené zraniteľnosti môžu mať hodnotu desiatok miliónov dolárov na trhu s využitím.
Takéto chyby neboli dlho zverejnené.
V programoch, ako je iMessage, existuje veľa ďalších útočných plôch. Jednotlivé chyby sa dajú pomerne ľahko opraviť, ale nikdy nemôžete nájsť všetky chyby v softvéri a každá knižnica, ktorú použijete, sa stane útočnou plochou. Takže problém s dizajnom je pomerne ťažké vyriešiť.
Zatiaľ čo v Androide na podobné chyby nenarazila. našla ich aj v WhatsApp, Facetime a videokonferenčnom protokole webRTC.
Možno je to oblasť, ktorá v oblasti bezpečnosti chýba.
Veľký dôraz sa kladie na implementáciu ochrany, ako je kryptografia, ale nezáleží na tom, aká dobrá je vaša kryptomena, ak má program chyby na prijímacej strane.
Silanovich vám odporúča, aby ste mali operačný systém a aplikácie svojho telefónu aktualizované, pretože spoločnosť Apple nedávno opravila všetky chyby služby iMessage, ktoré predstavila, v systémoch iOS 12.4 a macOS 10.14.6.
zdroj: drôtové
