Cercetătorii de la Google Project Zero, care este însărcinat cu buguri de vânătoare în software, au descoperit o mână de atacuri iOS.
ZDNet are raportul săptămâna aceasta. Câțiva membri ai Project Zero au putut identifica șase defecte de securitate legate de iOS. Cinci din cei șase au deja codul de dovadă a conceptului publicat, împreună cu demonstrații despre modul în care funcționează. Mai exact, cercetătorii remarcă faptul că aceste exploatări ar putea fi gestionate prin intermediul clientului iMessage.
Cu toate acestea, vestea bună este că toate cele șase exploatări au fost deja corelate cu lansarea publică a iOS 12.4. Așa că, deși aceste ultime probleme de securitate au fost deja corecți, reducându-le semnificativ eficiența, este un amintire că să fiți la curent cu software-ul pe care îl utilizați în fiecare zi este de o importanță vitală.
De remarcat faptul că unul dintre bug-urile din acest caz este încă ținut sub înfășurare (cel puțin deocamdată), deoarece în timp ce iOS 12.4 a făcut corecții pe toate cele șase, unul dintre autobuz nu a fost rezolvat complet, cel puțin conform Natalie Silvanovici, unul dintre cercetătorii care au descoperit bug-urile. Samuel Groß este celălalt cercetător care a descoperit erorile.
Potrivit cercetătorului, patru dintre cele șase erori de securitate pot duce la executarea codului rău intenționat pe un dispozitiv iOS de la distanță, fără a fi necesară interacțiunea utilizatorului. Tot un atacator trebuie să facă este să trimită un mesaj malformat la telefonul unei victime, iar codul rău intenționat se va executa odată ce utilizatorul se deschide și vizualizează articolul primit.
Cele patru buguri sunt CVE-2019-8641 (detaliile păstrate private), CVE-2019-8647, CVE-2019-8660 și CVE-2019-8662. Rapoartele legate de erori legate conțin detalii tehnice despre fiecare eroare, dar și cod de dovadă a conceptului care poate fi folosit pentru a exploata exploatări.
Al cincilea și al șaselea bug, CVE-2019-8624 și CVE-2019-8646, pot permite unui atacator să scurgă date din memoria unui dispozitiv și să citească fișierele de pe un dispozitiv de la distanță, de asemenea, fără interacțiune cu utilizatorul..
Vânătoarea de erori poate duce la plăți profitabile. Așa cum s-a subliniat în raportul inițial, aceste tipuri de vulnerabilități pot atinge mult peste un milion de dolari pentru cercetător. Ca atare, este posibil ca acest grup de probleme de securitate să fi putut aduce în valoare de peste 5 milioane de dolari, dar ar fi putut fi evaluat până la 24 de milioane de dolari, având în vedere că au lucrat la versiunile recente de iOS.
Practic, asigurați-vă că faceți upgrade la iOS 12.4 cât mai curând posibil, dacă nu ați făcut-o deja.
