บั๊กของ iMessage ให้คุณถูกแฮ็กด้วยข้อความเดียว

หน้าแรก » Apple

ไอคอนเวลาอ่านหนังสือ 3 นาที. อ่าน

ไอคอนปฏิทิน เผยแพร่เมื่อ

by อติยา เดวิดส์ 

เผยแพร่บน

แชร์บทความนี้

ผู้อ่านช่วยสนับสนุน MSpoweruser เราอาจได้รับค่าคอมมิชชันหากคุณซื้อผ่านลิงก์ของเรา ไอคอนคำแนะนำเครื่องมือ

อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม

ในการประชุมด้านความปลอดภัยของ Black Hat ในลาสเวกัส นักวิจัยของ Google Project Zero นาตาลี ซิลวาโนวิช ได้สาธิตข้อบกพร่องที่ไม่มีการโต้ตอบในไคลเอนต์ iOS iMessage ของ Apple ที่อาจนำไปใช้เพื่อควบคุมอุปกรณ์ของผู้ใช้

Apple ออกแพตช์สำหรับบั๊กบางตัว แต่ยังต้องจัดการกับมันทั้งหมด

สิ่งเหล่านี้สามารถเปลี่ยนเป็นข้อบกพร่องที่จะรันโค้ดและในที่สุดก็สามารถใช้สำหรับสิ่งที่เป็นอาวุธเช่นการเข้าถึงข้อมูลของคุณ

กรณีที่แย่ที่สุดก็คือ บั๊กเหล่านี้ถูกใช้เพื่อทำร้ายผู้ใช้

Silanovich ทำงานร่วมกับ Samuel Groß สมาชิก Project Zero เพื่อตรวจสอบว่ารูปแบบการส่งข้อความอื่นๆ รวมถึง SMS, MMS และข้อความเสียงพร้อมภาพถูกบุกรุกหรือไม่ หลังจากวิศวกรรมย้อนกลับและมองหาข้อบกพร่อง เธอพบจุดบกพร่องที่สามารถใช้ประโยชน์ได้หลายจุดใน iMessage

เหตุผลก็คือคิดว่า iMessage เสนอตัวเลือกและคุณสมบัติการสื่อสารที่หลากหลาย ซึ่งทำให้ข้อผิดพลาดและจุดอ่อนมีโอกาสมากขึ้น เช่น Animojis การแสดงไฟล์ เช่น รูปภาพและวิดีโอ และการรวมเข้ากับแอพอื่นๆ รวมถึง Apple Pay, iTunes, Airbnb เป็นต้น

ข้อบกพร่องที่ไม่มีการโต้ตอบที่โดดเด่นคือข้อผิดพลาดที่ทำให้แฮ็กเกอร์สามารถดึงข้อมูลจากข้อความของผู้ใช้ได้ ข้อบกพร่องดังกล่าวจะทำให้ผู้โจมตีสามารถส่งข้อความที่สร้างขึ้นโดยเฉพาะไปยังเป้าหมาย เพื่อแลกกับเนื้อหาของข้อความ SMS หรือรูปภาพ เป็นต้น

แม้ว่า iOS มักจะมีการป้องกันที่สามารถบล็อกการโจมตีได้ แต่จุดบกพร่องนี้ใช้ประโยชน์จากตรรกะพื้นฐานของระบบ ดังนั้นการป้องกันของ iOS จะตีความว่าถูกต้อง

เนื่องจากบั๊กเหล่านี้ไม่ต้องการการดำเนินการใดๆ จากเหยื่อ ผู้ขายและแฮ็กเกอร์ระดับประเทศจึงชื่นชอบ Silanovich พบว่าช่องโหว่ที่พบอาจมีมูลค่าหลายสิบล้านดอลลาร์ในตลาดการหาประโยชน์

ข้อบกพร่องเช่นนี้ไม่ได้เผยแพร่สู่สาธารณะเป็นเวลานาน

มีพื้นผิวการโจมตีเพิ่มเติมมากมายในโปรแกรมเช่น iMessage บั๊กแต่ละตัวนั้นง่ายต่อการแพตช์ แต่คุณไม่สามารถหาบั๊กทั้งหมดในซอฟต์แวร์ได้ และทุกไลบรารีที่คุณใช้จะกลายเป็นพื้นผิวการโจมตี ดังนั้นปัญหาการออกแบบจึงค่อนข้างยากที่จะแก้ไข

ในขณะที่เธอไม่พบข้อบกพร่องที่คล้ายกันใน Android เธอยังพบพวกเขาใน WhatsApp, Facetime และโปรโตคอลการประชุมทางวิดีโอ webRTC

บางทีนี่อาจเป็นพื้นที่ที่ไม่ได้รับความปลอดภัย

มีการมุ่งเน้นอย่างมากในการดำเนินการป้องกันเช่นการเข้ารหัส แต่ไม่สำคัญว่า crypto ของคุณจะดีแค่ไหนหากโปรแกรมมีจุดบกพร่องที่ปลายทาง

Silanovich แนะนำให้คุณอัปเดตระบบปฏิบัติการและแอพของโทรศัพท์อยู่เสมอ เนื่องจาก Apple เพิ่งแก้ไขจุดบกพร่องของ iMessage ทั้งหมดที่เธอนำเสนอใน iOS 12.4 และ macOS 10.14.6

ที่มา: แบบใช้สาย

ข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อต่างๆ: แอปเปิล, ข้อผิดพลาด, iMessage

อติยา เดวิดส์

อติยา เดวิดส์ โล่

นักข่าว

เขียนความเห็น

ที่อยู่อีเมลของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมาย *