Napaka iMessage vam omogoča, da vas vdrejo z enim sporočilom
3 min. prebrati
Objavljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Na varnostni konferenci Black Hat v Las Vegasu je raziskovalka Google Project Zero Natalie Silvanovich pokazala napake brez interakcije v Applovem odjemalcu iOS iMessage, ki bi jih bilo mogoče izkoristiti za pridobitev nadzora nad uporabnikovo napravo.
Apple je izdal nekaj popravkov za napake, vendar jih še vedno ni obravnaval.
Te je mogoče spremeniti v vrste hroščev, ki bodo izvajali kodo in jih lahko sčasoma uporabili za oborožene stvari, kot je dostop do vaših podatkov.
Najslabši scenarij je torej, da se te napake uporabljajo za škodo uporabnikom.
Silanovich je sodeloval s članom Project Zero Samuelom Großom, da bi raziskal, ali so bile ogrožene druge oblike sporočil, vključno s SMS, MMS in vizualno glasovno pošto. Po obratnem inženiringu in iskanju pomanjkljivosti je v iMessageu odkrila več hroščev, ki jih je mogoče izkoristiti.
Razlog naj bi bil v tem, da iMessage ponuja tako vrsto komunikacijskih možnosti in funkcij, zaradi katerih so napake in slabosti bolj verjetne – npr. Animoji, upodabljanje datotek, kot so fotografije in videoposnetki, ter integracija z drugimi aplikacijami, vključno z Apple Pay, iTunes, Airbnb itd.
Izstopal je hrošč brez interakcije, ki je hekerjem omogočil, da iz uporabnikovih sporočil izvlečejo podatke. Napaka bi napadalcu omogočila, da tarči pošlje posebej izdelana besedila, na primer v zameno za vsebino njihovih SMS sporočil ali slik.
Medtem ko ima iOS običajno nameščene zaščite, ki bi blokirale napad, ta napaka izkorišča osnovno logiko sistema, zato jo obramba iOS-a razlaga kot legitimno.
Ker ti hrošči ne zahtevajo nobenega ukrepanja od žrtve, jim dajejo prednost prodajalci in hekerji iz nacionalnih držav. Silanovich je ugotovil, da bi bile ugotovljene ranljivosti potencialno lahko vredne več deset milijonov dolarjev na trgu izkoriščanja.
Takšne napake že dolgo niso bile javno objavljene.
V programih, kot je iMessage, je veliko dodatne površine za napad. Posamezne napake je razmeroma enostavno popraviti, vendar v programski opremi nikoli ne najdete vseh hroščev in vsaka knjižnica, ki jo uporabljate, bo postala površina napada. Tako je to težavo pri oblikovanju razmeroma težko odpraviti.
Medtem ko v Androidu ni naletela na podobne napake. našla jih je tudi v WhatsAppu, Facetimeu in v protokolu za videokonference webRTC.
Morda je to področje, ki ga varnost pogreša.
Ogromen poudarek je na izvajanju zaščite, kot je kriptografija, vendar ni pomembno, kako dobra je vaša kriptovaluta, če ima program napake na prejemniku.
Silanovich vam svetuje, da posodabljate operacijski sistem in aplikacije telefona, saj je Apple pred kratkim popravil vse napake iMessage, ki jih je predstavila, v iOS 12.4 in macOS 10.14.6.
vir: žično
