Chyby v iOS umožnili hacknúť iPhone iba cez webovú stránku. Odhalil ich až Google

30. 8. 2019

Výskumníci skupiny Google Project Zero odhalili zraniteľnosť, ktorá patrí medzi najväčšie v celej histórii iOS platformy. Škodlivý malware zneužíval chyby v mobilnom webovom prehliadači Safari.

Odborník Ian Beer zo skupiny Google Project Zero všetko vysvetľuje na svojom blogu. Útoky sa tentoraz nemuseli nikomu vyhnúť. Na nakazenie totiž stačilo navštíviť infikovanú webovú stránku.

Analytici skupiny Threat Analysis Group (TAG) neskôr odhalili celkom päť rôznych chýb, ktoré sa nachádzali od iOS 10 až po verziu iOS 12. Inými slovami mohli útočníci zraniteľností využívať minimálne dva roky, čo boli tieto systémy na trhu.

Malware pritom využíval veľmi jednoduchý princíp. Po navštívení stránky sa na pozadí spustil kód, ktorý sa ľahko preniesol do zariadenia. Hlavným účelom programu bolo zbierať súbory a odosielať polohové dáta v intervale jednej minúty. A keďže sa program nakopíroval do pamäte zariadenia, v bezpečí pred ním neboli potrebné ani také iMessage.

TAG spoločne s Project Zero objavili celkom štrnásť zraniteľností naprieč piatimi zásadnými bezpečnostnými chybami. Z toho sa celých sedem týkalo mobilného Safari v iOS, ďalších päť už samotného kernela operačného systému a dve dokonca dokázali obísť sandboxing. V čase nálezu nebola žiadna zraniteľnosť opravená.

Foto: EverythingApplePro

Opravené až v iOS 12.1.4

Odborníci z Project Zero informovali o chybách Apple a dali im podľa pravidiel sedem dní do zverejnenia. K informovaniu firmy došlo 1. februára a spoločnosť chybu opravila v aktualizácii uvedenej 9. februára vo verzii iOS 12.1.4.

Séria týchto zraniteľností je nebezpečná v tom, že útočníci mohli kód ľahko šíriť cez postihnuté stránky. Keďže na nakazenie zariadenia stačí iba načítanie webu a spustenie skriptov na pozadí, bol v nebezpečenstve v podstate ktokoľvek.

Na anglickom blogu skupiny Google Project Zero je všetko technicky vysvetlené. Príspevok obsahuje množstvo podrobností a detailu. Je až prekvapujúce, že obyčajný webový prehliadač môže slúžiť ako brána do vášho zariadenia. Užívateľ nemusí byť donútený čokoľvek inštalovať.

Bezpečnosť našich zariadení tak nie je dobré brať na ľahkú váhu.

Zdroj: 9to5Mac

Témy: iOS 10, iOS 12, iMessage, safari, 9to5mac, pamäť, Google, program, iOS, používateľ

Diskusia k článku

Vaše meno

Váš komentár

Vyplnením vyššie uvedených údajov beriem na vedomie, že spoločnosť TEXT FACTORY sro, sídlom Brno, Durďákova 336/29, Čierna Pole, PSČ: 613 00, IČO: 06157831, zapísané na Krajskom súde v Brne, oddiel C, vložka 100399 osobné údaje uvedené v rámci mnou vyplneného registračného formulára na základe oprávnených záujmov TEXT FACTORY sro podľa čl. 6 ods. 1 písm. f) GDPR a na splnenie právnych povinností (článok 6 ods. 1 písm. c) GDPR), a to na tieto účely: nevyhnutnosť zabezpečiť oprávnenie návštevníka webových stránok prevádzkovaných spoločnosťou TEXT FACTORY sro prispievať aktívne k zverejneným článkom alebo v rámci diskusných fór a výkon práv TEXT FACTORY sro ako administrátora týchto diskusných fór. Viac informácií o spracovaní osobných údajov a právach možno nájsť v Poučenie o ochrane osobných údajov. celý text

Mohlo by vás zaujímať

Foto: EverythingApplePro

Opravené až v iOS 12.1.4

Mohlo by vás zaujímať

Súvisiaci