iOS: Ανακαλύφθηκαν 5 κρίσιμες τρύπες ασφαλείας σε iPhone

Phonandroid : actu Android et High-tech

Το Google Project Zero μόλις αποκάλυψε 4 πρακτικές εφαρμογές 5 κρίσιμων ελαττωμάτων που ανακαλύφθηκαν πρόσφατα στο iOS. Αυτά σας επιτρέπουν να κάνετε hack iPhone εξ αποστάσεως στέλνοντας ένα απλό μήνυμα μέσω του iMessage. Η Apple ειδοποιήθηκε για το πρόβλημα ανάντη και προσφέρει μια ενημερωμένη έκδοση κώδικα ασφαλείας στην τελευταία ενημέρωση iOS 12.4.

Οι τρύπες ασφαλείας δεν υπάρχουν μόνο σε smartphone Android – υπάρχουν σε όλους τους τύπους συσκευών, συμπεριλαμβανομένων των iPhone των οποίων η ασφάλεια της Apple μάρκετινγκ συχνά υπερβάλλεται. Φυσικά, λέγοντας αυτό, ξεχνάμε μια ουσιώδη πτυχή: δεν είναι πραγματικά το γεγονός ότι υπάρχουν ελαττώματα που είναι το πρόβλημα. Αυτό που έχει σημασία είναι κυρίως ότι διορθώνονται γρήγορα. Και από αυτήν την άποψη, τα iPhone έχουν τεράστιο πλεονέκτημα έναντι των smartphone Android: λαμβάνουν ενημερώσεις iOS αμέσως, μόλις είναι διαθέσιμες. Ενώ βρίσκεστε σε Android, είναι στη διακριτική ευχέρεια των κατασκευαστών.

Οι κρίσιμες ευπάθειες ασφαλείας επηρεάζουν επίσης τα iPhone, αλλά διορθώνονται γρήγορα …

Αυτό δεν μειώνει το γεγονός ότι οι ειδικοί του Google Project Zero βρήκαν πρόσφατα μια ωραία δέσμη στο iOS. Επειδή αυτά δεν είναι μικρά ελαττώματα: μιλάμε για κρίσιμα ελαττώματα που επιτρέπουν σε έναν εισβολέα να πάρει τον πλήρη έλεγχο μιας συσκευής και να φιλτράρει δεδομένα, χωρίς να χρειάζεται ο χρήστης να ανοίξει τίποτα γι ‘αυτήν. . Υπάρχουν συνολικά πέντε ελαττώματα – ένα από τα οποία (CVE-2019-8641) παραμένει ιδιωτικό, ενώ η Apple ολοκληρώνει την επιδιόρθωση. Τα άλλα τέσσερα ελαττώματα διορθώθηκαν όλα πριν από τη δημοσίευση από τις ομάδες της Apple, που είχαν ειδοποιηθεί εκ των προτέρων από ερευνητές του Project Zero. Όλα σχετίζονται με το iMessage, το ιδιόκτητο πρωτόκολλο ανταλλαγής μηνυμάτων της Apple.

Το πρώτο ελάττωμα (CVE-2019-8647) επιτρέπει την εκτέλεση αυθαίρετου κώδικα με επίθεση στο πλαίσιο βασικών δεδομένων iOS – σε σχέση με μια ανεπαρκώς ασφαλή μέθοδο (NSArray initWithCoder). Το δεύτερο (CVE-2019-8662), παρόμοιο, είναι η δυνατότητα γρήγορης προβολής Quicklook. Το τρίτο (CVE-2019-8660) επιτρέπει την καταστροφή της μνήμης μέσω του στοιχείου Siri του πλαισίου Core Data, το οποίο επιτρέπει σφάλματα και την εκτέλεση αυθαίρετου κώδικα.

Διαβάστε επίσης: Bluetooth BLE – η παραβίαση ασφαλείας επιτρέπει την παρακολούθηση υπολογιστών και iPhone

Τέλος, το ελάττωμα CVE-2019-8646 που βρίσκεται επίσης στο Siri και στο πλαίσιο Core Data επιτρέπει σε έναν εισβολέα να διαβάσει τα περιεχόμενα των αρχείων από το iPhone από απόσταση χωρίς την παραμικρή αλληλεπίδραση του χρήστη και του δίνει πρόσβαση σύνολο – όχι με άμμο – στη συσκευή. Η Google δημοσίευσε «αποδείξεις εννοιών» (με άλλα λόγια, επιδείξεις) αυτών των τρωτών σημείων ασφαλείας, γεγονός που διευκολύνει τους πιθανούς χάκερ. Ωστόσο, όπως σας είπαμε παραπάνω, το γεγονός ότι έχει ήδη προωθηθεί μια ενημέρωση σε ολόκληρο τον οικείο στόλο του iPhone μειώνει τον κίνδυνο ανάλογα. Ένας τρόπος υπογράμμισης, εάν είναι απαραίτητο, του ενδιαφέροντος για επιτάχυνση της παράδοσης ενημερώσεων στο οικοσύστημα Android.

Πηγή: The Hacker News