Kazalo:
Kot vsako leto je na varnostni konferenci Black Hat v Las Vegasu odkritih veliko varnostnih napak in podvigov, ki bi na črnem trgu stali milijone in milijone. Nedavno smo govorili o napaki v aplikaciji WhatsApp, ki omogoča ponarejanje vaših sporočil, zdaj pa je čas za pogovor o iPhoneu in operacijskem sistemu iOS
Raziskovalci iz skupine Google Project Zero so odkrili napako v iMessage, ki napadalcu omogoča dostop do iPhona brez interakcije žrtve Z drugimi besedami, hekerji lahko vdrejo v vaš iPhone, ne da bi morali storiti kar koli. To izkoriščanje pomeni, da lahko zlomijo varnost vašega mobilnega telefona, ne da bi vam bilo treba klikniti povezavo, prenesti datoteko ali poslati sporočilo. Zato je pomembna resnost zadeve.
Apple že dela na odpravi težave v iMessage
To, da lahko hekerji na daljavo prevzamejo nadzor nad vašim telefonom brez vaše kakršne koli interakcije, je zelo resno in Apple že rešuje težavo. Raziskovalci so iskali podobne napake v SMS, MMS in glasovnih sporočilih, vendar niso našli ničesar. Vendar jih je v iMessage veliko in Apple si prizadeva, da bi jih popravil. Od Cupertino zagotavlja, da so že rešili 5 od njih, vendar je treba pregledati še veliko kode.
Napaka je posledica narave aplikacije, zato bo za njeno popolno odpravo potrebno veliko povratnega inženiringa.Ranljivost, najdena v iMessage, je res zapletena in ni samo zato, ker iMessage omogoča pošiljanje datotek, glasovnih sporočil, fotografij ali animojisov, ampak tudi zato, ker ima integracija z aplikacijami tretjih oseb, kot sta OpenTable ali Airbnb, težavo kompleksno rešitev. Zaradi teh integracij obstaja veliko načinov za vstop skozi zadnja vrata.
Takšna napaka bi na črnem trgu stala milijone dolarjev
iOS je varen sistem, ki ima številne varnostne preglede. Vendar pa ta izkoriščanje dostopa do operacijskega sistema skozi stranska vrata in zaobide varnost, ne da bi žrtev zaznala napadalca Preprosto pošljite določeno sporočilo na račun iMessage, ki ga bodo strežniki napačno interpretirali, ki napadalcu omogoči oddaljen dostop v nekaj sekundah.
Napad ne zahteva nobene interakcije uporabnika, zaradi česar je zelo nevaren, in če ekipa Google Project Zero ne bi razkrila podrobnosti Appleu bi lahko to izkoriščanje prodali za veliko milijonov dolarjev na črnem trguČeprav se očitno to ne bo zgodilo…
