iMessage -feil lar iPhone være åpen for kapring
Foto: Apple
Sikkerhetsforskere har avdekket nye feil i iMessage som kan gi hackere kontroll over iPhone eller iPad.
Apple har allerede lappet fem lignende feil, men flere er fremdeles tilstede i nyere versjoner av iOS. Det som gjør disse spesielt bekymrende er at et potensielt angrep ikke krever innspill fra brukeren.
Forskere kaller dem feil som er "interaksjonsfrie". Hackere kan utnytte dem til å utføre et angrep uten først å overbevise en bruker om å besøke et ondsinnet nettsted eller åpne en farlig fil.
En feil uten interaksjon avdekket i WhatsApp i mai tillot spioner å få tilgang til en brukers smarttelefon bare ved å ringe den - selv om brukeren ikke svarte.
Nå har lignende feil blitt oppdaget i iMessage av Google Project Zero -forskere Natalie Silvanovich og Samual Groß.
Vær forsiktig med iMessage -angripere
"Disse kan omdannes til en slags feil som vil utføre kode og til slutt kunne brukes til våpen som f.eks. Tilgang til dataene dine," fortalte Silvanovich. Kablet.
"Så det verste scenariet er at disse feilene brukes til å skade brukere."
Angripere kan utnytte disse feilene ved å sende en spesiallaget tekstmelding til en iPhone- eller iPad-bruker, noe som vil utløse Apples iMessage-servere til å sende spesifikke data tilbake.
Disse dataene kan inneholde en brukers hele iMessage -historie eller bilder og videoer.
Andre angrep kan tillate at ondsinnet kode kjøres på offerets enhet, og gir en angriper full kontroll over den.
Angrepene ville være nesten ikke oppdagbare, og brukeren måtte ikke engang åpne den innkommende meldingen for å utløse dem.
Kan ikke iOS forhindre det?
iOS er kjent som den sikreste mobilplattformen, med sterke beskyttelser for å holde dine private data private. Så du tror kanskje tiltak for å forhindre slike utnyttelser allerede er tilstede.
Men angrep som drar fordel av interaksjonsfrie feil gjør det ved å utnytte systemets underliggende logikk, Kablet forklarer. Så iOS ser på dem som legitime og tilsiktede interaksjoner.
Og fordi disse feilene gjør det så enkelt å angripe offerets enhet, med en så stor gevinst, blir de stadig mer populære blant utnyttelsesleverandører og nasjonalstatshackere.
iMessage har utallige feil
Silvanovich har detaljert seks feil uten interaksjon i iMessage så langt, med flere som ikke er annonsert. Og til tross for at de er relativt enkle å fikse, er de vanskelige å eliminere helt.
"De enkelte feilene er rimelig enkle å fikse, men du kan aldri finne alle feilene i programvare, og hvert bibliotek du bruker vil bli en angrepsflate," forklarer Silvanovich.
"Så det designproblemet er relativt vanskelig å fikse."
Silvanovich bemerker at iMessage -sikkerheten generelt er sterk, og absolutt ikke den eneste meldingsplattformen med feil - så du bør ikke skynde deg å slutte å bruke den enda.
