iMessage'i vead jätavad iPhone'i kaaperdamisele avatuks
Foto: Apple
Turvauurijad on avastanud iMessage'is uusi vigu, mis võivad häkkeritel teie iPhone'i või iPadi juhtida.
Apple on juba lappinud viis sarnast viga, kuid iOS -i viimastes versioonides on neid veel mitu. Mis teeb need eriti murettekitavaks, on see, et potentsiaalne rünnak ei nõua kasutajalt mingit panust.
Teadlased nimetavad neid „interaktsioonivabadeks” vigadeks. Häkkerid saavad neid rünnaku tegemiseks ära kasutada, veendumata kasutajat kõigepealt pahatahtlikku veebisaiti külastama või ohtlikku faili avama.
Interaktsioonivaba viga avastati mais WhatsAppis lubas spioonidel juurdepääsu kasutaja nutitelefonile lihtsalt sellele helistades - isegi kui kasutaja ei vastanud.
Nüüd avastasid sarnased vead iMessage'is Google Project Zero teadlased Natalie Silvanovich ja Samual Groß.
Ettevaatust iMessage'i ründajatega
"Neid saab muuta teatud tüüpi vigadeks, mis käivitavad koodi ja mida saab lõpuks kasutada relvastatud asjade jaoks, nagu juurdepääs teie andmetele," ütles Silvanovitš
Ühendatud."Nii et halvim stsenaarium on see, et neid vigu kasutatakse kasutajate kahjustamiseks."
Ründajad saavad neid vigu ära kasutada, saates iPhone'i või iPadi kasutajale spetsiaalselt loodud tekstisõnumi, mis käivitaks Apple'i iMessage'i serverid konkreetsed andmed tagasi saatma.
Need andmed võivad sisaldada kogu kasutaja iMessage'i ajalugu või tema fotosid ja videoid.
Muud rünnakud võivad lubada pahatahtliku koodi käivitamist ohvri seadmes, andes ründajale selle üle täieliku kontrolli.
Rünnakud oleksid peaaegu tuvastamatud ja kasutaja ei peaks nende käivitamiseks isegi sissetulevat sõnumit avama.
Kas iOS ei saa seda takistada?
iOS on tuntud kõige turvalisem mobiiliplatvorm, millel on tugev kaitse teie privaatsete andmete privaatsuse hoidmiseks. Nii et võite arvata, et meetmed selliste ärakasutuste ärahoidmiseks on juba olemas.
Kuid rünnakud, mis kasutavad ära interaktsioonivabu vigu, kasutavad seda süsteemi aluseks olevat loogikat kasutades, Ühendatud selgitab. Niisiis näeb iOS neid õigustatud ja kavandatud suhtlusena.
Ja kuna need vead muudavad ohvri seadme ründamise nii lihtsaks ja sellise märkimisväärse tasuvusega, muutuvad nad ekspluateerimismüüjate ja rahvusriikide häkkerite seas üha populaarsemaks.
iMessage'il on lugematuid vigu
Silvanovitšil on iMessage'is seni üksikasjalikult välja toodud kuus interaktsioonivaba viga, millest rohkem on veel teatamata. Ja kuigi neid on suhteliselt lihtne parandada, on neid raske täielikult kõrvaldada.
"Üksikuid vigu on suhteliselt lihtne parandada, kuid te ei leia kunagi tarkvara kõiki vigu ja iga kasutatav raamatukogu muutub ründepinnaks," selgitab Silvanovitš.
"Nii et seda disainiprobleemi on suhteliselt raske lahendada."
Silvanovitš märgib, et iMessage'i turvalisus on üldiselt tugev ja kindlasti mitte ainus vigadega sõnumsideplatvorm - seega ärge kiirustage selle kasutamist veel lõpetama.