Pozrite si
Smartfóny od Apple sú vo všeobecnosti považované za jedny z najbezpečnejších na svete. To, že to nemusí byť vždy pravda, demonštroval Ian Beer, výskumný pracovník spoločnosti Project Zero, výskumnej divízie zraniteľnosti spoločnosti Google.
Ianovi sa podarilo diaľkovo ovládať iPhony v dosahu spoločnej Wi-Fi. Dokázal sťahovať dáta z telefónu, aktivovať fotoaparáty a mikrofóny. Z iPhone si tak urobil ideálny nástroj na špionáž. Spolu mu to však trvalo šesť mesiacov, kým prekonal všetky prekážky. Napokon však dokázal úspešne prevziať iPhone 11 Pro vo vedľajšej miestnosti.
Na videu môžete vidieť, ako diaľkovo spustí chybu zabezpečenia neoverenej pamäte jadra, ktorá spôsobí reštartovanie všetkých zariadení s iOS.
Ian našiel bezpečnostnú dieru využívajúc zraniteľnosť spojenú s pomerne smiešnou chybou programovania preplnenia vyrovnávacej pamäte v kóde C ++ v jadre, ktorá analyzovala nedôveryhodné údaje.
Vo svojom blogu veľmi presne popisuje zraniteľnosť a aké časti kódu môžu byť vystavené útočníkom. Chyba v iOS sa týkala sieťového protokolu Apple Wireless Direct Link (AWDL). Apple ho využíva napríklad pri AirDrop alebo Sidecar.
Zakladateľ Project Zero Chris Evans povedal pre portál ArsTechnica, že hrôzostrašné na tomto zistení je, že funguje bez akejkoľvek interakcie používateľa a nezanechá žiadnu stopu po narušení súkromia.
V praxi ide o veľmi náročný postup, ktorý dokáže zrealizovať len odborník. Musí vedieť naprogramovať Wi-Fi adaptéry a potom extrahovať z množstva získaných dát dôležité a zaujímavé súbory. Je však neuveriteľné, že taká obrovská bezpečnostná diera vôbec existovala.
Našťastie sa zdá, že zraniteľnosť nikto nezneužil. Ian Beer poznamenal, že neobjavil žiadne dôkazy o tom, že by ju niekedy hekeri zneužili. Zároveň poskytol Apple čas na vyriešenie problémov, kým zverejnil podrobnosti. Apple v máji vydaním verzie iPS 13.5 opravil odhalené bezpečnostné riziko.
Aj tento najnovší prípad zdôrazňuje nutnosť pravidelných aktualizácii systému. Ako ste na tom vy? Aktualizujete svoje zariadenie po vyjdení novej verzie, alebo to odkladáte čo najdlhšie?
Zdroj