iMessage hatası, yalnızca bir mesajla saldırıya uğramanıza izin verir
3 dk. okuman
Yayınlandı
Bu makaleyi paylaş
Bu kılavuzu geliştirin
MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla
Las Vegas'taki Black Hat güvenlik konferansında, Google Project Zero araştırmacısı Natalie Silvanovich, Apple'ın iOS iMessage istemcisinde, bir kullanıcının cihazının kontrolünü ele geçirmek için kullanılabilecek etkileşimsiz hataları gösterdi.
Apple, hatalar için bazı yamalar yayınladı, ancak henüz hepsiyle ilgilenmedi.
Bunlar, kodu yürütecek ve nihayetinde verilerinize erişmek gibi silahlandırılmış şeyler için kullanılabilecek türden hatalara dönüştürülebilir.
Dolayısıyla en kötü senaryo, bu hataların kullanıcılara zarar vermek için kullanılmasıdır.
Silanovich, SMS, MMS ve görsel sesli posta dahil olmak üzere diğer mesajlaşma biçimlerinin güvenliğinin ihlal edilip edilmediğini araştırmak için Project Zero üyesi Samuel Groß ile birlikte çalıştı. Tersine mühendislik yaptıktan ve kusurları aradıktan sonra, iMessage'da birden çok sömürülebilir hata keşfetti.
Bunun nedeni, iMessage'ın hataları ve zayıflıkları daha olası hale getiren, örneğin Animojis, fotoğraf ve video gibi dosyaları oluşturma ve Apple Pay, iTunes, Airbnb vb. dahil diğer uygulamalarla entegrasyon gibi çeşitli iletişim seçenekleri ve özellikleri sunmasıdır.
Göze çarpan etkileşimsiz bir hata, bilgisayar korsanlarının bir kullanıcının mesajlarından veri çıkarmasına izin veren bir hataydı. Hata, örneğin, SMS mesajlarının veya görüntülerinin içeriği karşılığında, saldırganın hedefe özel hazırlanmış metinler göndermesine izin verir.
iOS genellikle saldırıyı engelleyecek korumalara sahip olsa da, bu hata sistemin altında yatan mantıktan yararlanır, bu nedenle iOS'un savunması bunu meşru olarak yorumlar.
Bu hatalar kurbandan herhangi bir işlem gerektirmediğinden, satıcılar ve ulus devlet bilgisayar korsanları tarafından tercih edilir. Silanovich, bulunan güvenlik açıklarının istismar pazarında potansiyel olarak on milyonlarca dolar değerinde olabileceğini keşfetti.
Bunun gibi hatalar uzun zamandır halka açıklanmadı.
iMessage gibi programlarda birçok ek saldırı yüzeyi vardır. Bireysel hataların yamalanması oldukça kolaydır, ancak yazılımdaki tüm hataları asla bulamazsınız ve kullandığınız her kitaplık bir saldırı yüzeyi haline gelir. Dolayısıyla bu tasarım sorununun düzeltilmesi nispeten zordur.
Android'de benzer hatalarla karşılaşmadı. ayrıca onları WhatsApp, Facetime ve video konferans protokolü webRTC'de buldu.
Belki bu güvenlikte gözden kaçan bir alandır.
Kriptografi gibi korumaların uygulanmasına çok fazla odaklanılıyor, ancak programın alıcı tarafında hataları varsa kriptonuzun ne kadar iyi olduğu önemli değil.
Apple, iOS 12.4 ve macOS 10.14.6'da sunduğu tüm iMessage hatalarını yakın zamanda düzelttiği için Silanovich, telefonunuzun işletim sistemini ve uygulamalarını güncel tutmanızı tavsiye ediyor.
Kaynak: kablolu
