Баги в iOS зробили можливим зламати iPhone просто через сайт. Їх виявив лише Google

30. 8. 2019

Дослідники з групи Google Project Zero виявили вразливість, яка є однією з найбільших в історії платформи iOS. Зловмисне програмне забезпечення використовувало помилки в мобільному веб-браузері Safari.

Експерт Google Project Zero Ян Бір пояснює все у своєму блозі. Цього разу нікому не довелося уникати атак. Щоб заразитися, достатньо було відвідати заражений сайт.

Аналітики з Threat Analysis Group (TAG) зрештою виявили загалом п’ять різних помилок, які були присутні від iOS 10 до iOS 12. Іншими словами, зловмисники могли використовувати вразливість протягом щонайменше двох років, відколи ці системи були на ринку.

Шкідлива програма використовувала дуже простий принцип. Після відвідування сторінки у фоновому режимі працював код, який легко було передано на пристрій. Основною метою програми був збір файлів і відправка даних про місцезнаходження з інтервалом в одну хвилину. А оскільки програма сама копіювалася в пам'ять пристрою, то навіть такі iMessages не були від неї застраховані.

TAG разом із Project Zero виявили загалом чотирнадцять вразливостей у п’яти критичних недоліках безпеки. З них цілих сім пов’язані з мобільним Safari в iOS, ще п’ять – з ядром самої операційної системи, а двом навіть вдалося обійти пісочницю. На момент відкриття жодна вразливість не була виправлена.

Фото: EverythingApplePro

Виправлено лише в iOS 12.1.4

Про це повідомили експерти Project Zero Помилки Apple і дали їм сім днів згідно з правилами до публікації. Компанію повідомили 1 лютого, і компанія виправила помилку в оновленні iOS 9, випущеному 12.1.4 лютого.

Серія цих вразливостей небезпечна тим, що зловмисники можуть легко поширити код через уражені сайти. Оскільки для зараження пристрою потрібно лише завантажити веб-сайт і запустити сценарії у фоновому режимі, практично будь-хто був під загрозою.

Технічно все пояснено в англомовному блозі групи Google Project Zero. Пост містить безліч деталей і подробиць. Дивовижно, як простий веб-браузер може виступати в якості шлюзу до вашого пристрою. Користувач не змушений нічого встановлювати.

Тому до безпеки наших пристроїв не варто ставитися легковажно.

Джерело: 9to5Mac

Теми: Система IOS 10, Система IOS 12, Шеззаде, сафарі, 9to5mac, пам'ять, Google, програма, iOS, користувача

Обговорення статті

Ваше ім'я

Ваш коментар

Заповнюючи наведені вище дані, я визнаю, що компанія TEXT FACTORY s.r.o., зареєстрована в Брно, Durďákova 336/29, Černá Pole, поштовий індекс: 613 00, ідентифікаційний номер: 06157831, зареєстрована в регіональному суді в Брно, розділ C. , вставка 100399, оброблятиме мої персональні дані, надані в заповненій мною реєстраційній формі, на підставі законних інтересів TEXT FACTORY s.r.o. відповідно до статті 6 абзацу 1 листа f) GDPR та для виконання юридичних зобов’язань (стаття 6, абзац 1, буква c) GDPR) для таких цілей: необхідність забезпечити авторизацію відвідувачів веб-сайтів, якими керує TEXT FACTORY s.r.o., для активного внеску в опубліковані статті або в рамках обговорення форуми та використання прав TEXT FACTORY s.r.o. як адміністратора цих дискусійних форумів. Додаткову інформацію про обробку персональних даних і права можна знайти в Уроки захисту персональних даних. весь текст

Це може бути зацікавити вас

Фото: EverythingApplePro

Виправлено лише в iOS 12.1.4

Це може бути зацікавити вас

Пов'язані