Оглавление:
Как и каждый год, на конференции по безопасности Black Hat, проходящей в Лас-Вегасе, обнаруживается множество недостатков безопасности и эксплойтов, которые обошлись бы в миллионы и миллионы на черном рынке. Недавно мы говорили об ошибке в WhatsApp, позволяющей фальсифицировать ваши сообщения, а теперь пришло время поговорить об iPhone и операционной системе iOS
Исследователи из группы Google Project Zero обнаружили ошибку в iMessage, позволяющую злоумышленнику получить доступ к iPhone без участия жертвы Другими словами, хакеры могут проникнуть в ваш iPhone без каких-либо действий. Этот эксплойт означает, что они могут нарушить безопасность вашего мобильного телефона без необходимости нажимать на ссылку, загружать файл или отправлять сообщение. Поэтому важна серьезность вопроса.
Apple уже работает над решением проблемы в iMessage
Хакеры могут удаленно получить контроль над вашим телефоном без какого-либо взаимодействия с вами — это очень серьезно, и Apple уже работает над этой проблемой. Исследователи искали подобные ошибки в SMS, MMS и голосовых сообщениях, но ничего не нашли. Однако в iMessage их много, и Apple работает над их исправлением. From Купертино уверяет, что они уже решили 5 из них, но еще много кода нужно проверить.
Ошибка связана с характером приложения, поэтому для ее полного исправления потребуется много реверс-инжиниринга.Уязвимость, обнаруженная в iMessage, действительно сложна, и не только потому, что iMessage позволяет отправлять файлы, голосовые сообщения, фотографии или анимодзи, но и потому, что интеграция со сторонними приложениями, такими как OpenTable или Airbnb, делает проблему сложной. Благодаря этим интеграциям есть много способов войти через черный ход.
Такая ошибка обошлась бы в миллионы долларов на черном рынке
iOS — это безопасная система, которая проходит множество проверок безопасности. Однако этот эксплойт получает доступ к операционной системе через черный ход и обходит систему безопасности, при этом жертва не обнаруживает злоумышленника Просто отправьте определенное сообщение на учетную запись iMessage, которое серверы неправильно интерпретируют, предоставление злоумышленнику удаленного доступа за считанные секунды.
Тот факт, что атака не требует взаимодействия с пользователем, делает ее очень опасной, и если бы команда Google Project Zero не раскрыла подробности Apple, они могли бы продать этот эксплойт за много миллионов долларов на черном рынкеХотя, очевидно, этого не произойдет…
