Google pojasnjuje, kako lahko ob obisku spletnega mesta vaš iPhone postane izpostavljen hekerjem

Googlova ekipa Project Zero je pred kratkim objavila a nov video dokaz koncepta hrošča iMessage ki jim omogoča dostop do datotek naprave iOS.

Googlova skupina za analizo groženj je v začetku tega leta odkrila majhno zbirko vdrtih spletnih mest. Ko uporabnik iPhone obišče to vdrto spletno mesto, bo spletni strežnik napadel napravo, da bi pridobil dostop do naprave. Če je napad uspešen, bo napadalec na napravo namestil nadzorni vsadek. Google je odkril pet različnih verig izkoriščanja iPhone, ki delujejo na podoben način in vplivajo na naprave z operacijskim sistemom iOS 10 do najnovejšega iOS 12.

Ekipa Google Project Zero je včeraj objavila objavo v spletnem dnevniku, v kateri je razložila temeljne vzroke ranljivosti iPhone in razpravljala o svojih vpogledih.

Osnovni vzroki, ki jih izpostavljam tukaj, niso novi in ​​so pogosto spregledani: videli bomo primere kode, za katero se zdi, da nikoli ni delovala, kodo, ki je verjetno preskočila QA ali je verjetno imela malo testiranja ali pregleda, preden je bila poslana uporabnikom.

Celotno analizo si lahko preberete na spodnji povezavi vira, če želite izvedeti naslednje:

• podrobni zapisi vseh petih verig izkoriščanja stopnjevanja privilegijev;
• demontaža uporabljenega vsadka, vključno s predstavitvijo vsadka, ki se izvaja na mojih napravah, pogovorom z vzvratno zasnovanim ukaznim in nadzornim strežnikom in demonstracijo zmožnosti vsadka za krajo zasebnih podatkov, kot so iMessages, fotografije in lokacija GPS v resnici. čas in
• analiza, ki jo je opravil kolega član ekipe Samuel Groß o podvigih brskalnika, ki se uporabljajo kot začetne vstopne točke.

vir: google