Власники iPhone опинились в небезпеці через звичайне текстове повідомлення
В ході щорічної конференції з комп’ютерної безпеки Black Hat дослідник Google Project Zero Наталі Сільванович розповіла про можливості злому iPhone через вбудований месенджер iMessage. Наявність вражаючої функціональності сервісу і є основною проблемою в безпеці – чим більше у додатку можливостей, тим вище ризик, що він буде зламаний.
За останні місяці Apple вже встигла виправити щонайменше шість вразливостей iMessage. Але багато «дірок» в безпеці сервісу так і залишилися відкритими. iMessage – складна платформа, що включає інтеграцію з рядом додатків, можливість додавання відео, фото, аудіо, підтримку Animoji і рядом додаткових можливостей. Кожне розширення і взаємозв’язок зі стороннім ПЗ дають хакерам більше шансів знайти вразливість.
[image lightbox=”1″ caption=””]https://gsminfo.com.ua/wp-content/uploads/2019/07/iPhone-X.jpg[/image]В ході вивчення алгоритму роботи сервісу Наталі Сільванович знайшла спосіб отримати призначені для користувача дані за допомогою відправки всього одного повідомлення. Спеціально створений текст відправляється абоненту, сервер iMessage сприймає його як системну команду, а далі відбувається відправка запитаних даних назад на атакуючу сторону. При цьому одержувачу навіть не потрібно відкривати додаток.
Кілька інших вразливостей сервісу дозволяють інтегрувати в систему шкідливий код і, знову-таки, за допомогою відправки всього одного спеціального повідомлення через iMessage.
Рішення Apple про підвищення грошової винагороди за знайдені в її програмному забезпеченні уразливості цілком логічне. Будь-яка подібна «діра» в безпеці на ринку експлойтів варта хороших грошей. В інтересах корпорації – дізнатися про знайдену проблему з перших вуст, мінімізувавши наслідки і оперативно закривши вразливість.
Сільванович підкреслила, що шукала подібні експлойти в Android, але виявити їх не зуміла. Раніше їй вдалося відшукати недоліки в роботі WhatsApp, FaceTime і протоколі відеоконференцій webRTC. Всі помилки, на які вказала хакер, Apple благополучно виправила. Кращим способом захисту, на думку програміста, залишається постійна установка свіжих оновлень на смартфони і ноутбуки.
джерело: wired.com