Sadržaj:
Kao i svake godine, na Black Hat sigurnosnoj konferenciji koja se održava u Las Vegasu, otkriveno je mnogo sigurnosnih propusta i exploita koji bi na crnom tržištu koštali milijune i milijune. Nedavno smo razgovarali o pogrešci u WhatsAppu koja omogućuje krivotvorenje vaših poruka, a sada je vrijeme da razgovaramo o iPhoneu i operativnom sustavu iOS
Istraživači iz grupe Google Project Zero otkrili su bug u iMessageu koji napadaču omogućuje pristup iPhoneu bez interakcije žrtve Drugim riječima, hakeri bi mogli ući u vaš iPhone bez da moraju išta učiniti. Ovaj exploit znači da mogu probiti sigurnost vašeg mobitela bez potrebe da kliknete na poveznicu, preuzmete datoteku ili pošaljete poruku. Stoga je ozbiljnost stvari važna.
Apple već radi na rješavanju problema u iMessage-u
Mogućnost hakera daljinski preuzeti kontrolu nad vašim telefonom bez vaše interakcije vrlo je ozbiljna i Apple već radi na tom problemu. Istraživači su tražili slične pogreške u SMS-u, MMS-u i glasovnim porukama, ali nisu pronašli ništa. Međutim, u iMessageu ih ima mnogo i Apple radi na tome da ih popravi. From Cupertino uvjerava da su već riješili 5 od njih ali ima još puno koda za pregledati.
Progreška je nastala zbog prirode aplikacije, tako da će biti potrebno mnogo obrnutog inženjeringa da bi se potpuno popravila.Ranjivost pronađena u iMessageu doista je složena i nije samo zato što iMessage omogućuje slanje datoteka, glasovnih poruka, fotografija ili animojija, već i zato što integracija s aplikacijama trećih strana kao što su OpenTable ili Airbnb čini da problem ima složeno rješenje. Postoji mnogo načina da se uđe kroz stražnja vrata zbog ovih integracija.
Ovakva pogreška koštala bi milijune dolara na crnom tržištu
iOS je siguran sustav koji uživa u mnogim sigurnosnim provjerama. Međutim, ovaj exploit pristupa operativnom sustavu kroz stražnja vrata i zaobilazi sigurnost bez da žrtva otkrije napadača Jednostavno pošaljite određenu poruku na račun iMessage koju će poslužitelji pogrešno protumačiti, dajući napadaču udaljeni pristup u roku od nekoliko sekundi.
To što napad ne zahtijeva interakciju korisnika čini ga vrlo opasnim, a da Google Project Zero tim nije otkrio detalje Appleu mogli su prodati ovaj exploit za mnogo milijuna dolara na crnom tržištuIako se to očito neće dogoditi…
