Apple (Foto av Medhat Dawoud på Unsplash)
Apple iOS, standardoperativsystemet for alle iPhones, inneholdt seks kritiske 'Zero Interaction' -problemer. Googles elite 'Project Zero' team, som jakter på alvorlige feil og programvarefeil, oppdaget det samme. Interessant nok har Googles sikkerhetsforskerteam vellykket replikert handlingene som kan utføres ved hjelp av sikkerhetsfeilene i naturen. Disse feilene kan potensielt tillate enhver ekstern angriper å ta administrativ kontroll over Apple iPhone uten at brukeren trenger å gjøre noe annet enn å motta og åpne en melding.
Apple iPhone-operativsystemversjoner før iOS 12.4 ble funnet å være utsatt for seks 'interaksjonsløse' sikkerhetsfeil, oppdaget Google. To medlemmer av Google Project Zero har publisert detaljer og til og med demonstrert Proof-of-Concept for fem av de seks sårbarhetene. Sikkerhetsfeilene kan betraktes som ganske alvorlige bare fordi de krever minst mulig handlinger utført av det potensielle offeret for å kompromittere iPhones sikkerhet. Sikkerhetsproblemet påvirker iOS-operativsystemet og kan utnyttes via iMessage-klienten.
Google følger 'Ansvarlig praksis' og informerer Apple om de alvorlige sikkerhetsfeilene i iPhone iOS:
Google vil avsløre detaljer om sikkerhetsproblemene i Apple iPhone iOS på Black Hat-sikkerhetskonferansen i Las Vegas neste uke. Imidlertid opprettholdt søkegiganten sin ansvarlige praksis med å advare respektive selskaper om sikkerhetshull eller bakdører, og rapporterte først problemene til Apple for å tillate det å utstede oppdateringer før teamet avslørte detaljene offentlig.
Etter å ha lagt merke til de alvorlige sikkerhetsfeilene, happet Apple angivelig å lappe feilene. Imidlertid har det kanskje ikke lyktes helt. Detaljer om et av de 'interaksjonsløse' sårbarhetene har blitt holdt private fordi Apple ikke løste feilen helt. Informasjonen om det samme ble tilbudt av Natalie Silvanovich, en av de to Google Project Zero-forskerne som fant og rapporterte feilene.
Google avslører fistful av feil i Apples iMessage-app
Ingenting er immun mot virus, skadelig programvare og lignende eller kodingsfeil: MacOS, Android, iOS, Linux, Windows - de er alle sårbare. Plaster og antivirale midler er alltid viktig for ALLE OS-er https://t.co/sTpLUY2XqO
- Scotty (@osusuki) 30. juli 2019
Forskeren bemerket også at fire av de seks sikkerhetsfeilene kan føre til kjøring av ondsinnet kode på en ekstern iOS-enhet. Det som er enda mer bekymringsfullt er det faktum at disse feilene ikke trengte noen brukerinteraksjon. Angriperne må bare sende en spesifikt kodet feilformet melding til offerets telefon. Den ondsinnede koden kan da enkelt utføre seg selv etter at brukeren åpnet meldingen for å se det mottatte elementet. De to andre utnyttelsene kan tillate en angriper å lekke data fra enhetens minne og lese filer fra en ekstern enhet. Overraskende nok behøvde selv disse feilene ikke brukerinteraksjon.
Apple kunne vellykket lappe bare fem av de seks sikkerhetsproblemene i 'Zero Interaction' i iPhone iOS?
Alle seks sikkerhetsfeil skulle ha blitt oppgradert med suksess forrige uke, 22. juli, med Apples iOS 12.4-utgivelse . Imidlertid ser det ikke ut til å være tilfelle. Sikkerhetsforskeren har bemerket at Apple bare klarte å fikse fem av de seks sikkerhetsproblemene 'Zero Interaction' i iPhone iOS. Likevel er detaljer om de fem feilene som ble lappet tilgjengelig online. Google har tilbudt det samme gjennom sitt feilrapporteringssystem.
De tre feilene som tillot ekstern kjøring og gitt administrativ kontroll av offerets iPhone er CVE-2019-8647 , CVE-2019-8660 , og CVE-2019-8662 . De tilknyttede feilrapportene inneholder ikke bare tekniske detaljer om hver feil, men også proof-of-concept-kode som kan brukes til å lage bedrifter. Siden Apple ikke har klart å lappe den fjerde feilen fra denne kategorien, har detaljer om den samme blitt holdt konfidensielle. Google har merket dette sikkerhetsproblemet som CVE-2019-8641.
En av disse feilene er et problem utenfor leseområdet (CVE-2019-8646) som kan tillate eksterne angripere å lese innholdet i filene som er lagret på offerets #iOS bare ved å sende en misdannet melding via iMessage.
- The Hacker News (@TheHackersNews) 30. juli 2019
Google har merket den femte og sjette feilen som CVE-2019-8624 og CVE-2019-8646 . Disse sikkerhetsfeilene kan potensielt tillate en angriper å utnytte offerets private informasjon. Disse er spesielt bekymringsfulle fordi de kan lekke data fra enhetens minne og lese filer fra en ekstern enhet uten behov for interaksjon fra offeret.
Med iOS 12.4 kan Apple ha blokkert alle forsøk på å fjernstyre iPhones via den sårbare iMessage-plattformen. Eksistensen og åpen tilgjengelighet av proof-of-concept-koden betyr imidlertid at hackere eller ondsinnede kodere fortsatt kan utnytte iPhones som ikke har blitt oppdatert til iOS 12.4. Med andre ord, mens det alltid anbefales å installere sikkerhetsoppdateringer så snart de blir tilgjengelige, er det i dette tilfellet viktig å installere den nyeste iOS-oppdateringen som Apple har gitt ut uten noen forsinkelse. Mange hackere prøver å utnytte sårbarheter selv etter at de er blitt lappet eller løst. Dette er fordi de er godt klar over at det er en høy andel av enhetseiere som ikke oppdaterer raskt eller bare forsinker oppdateringen av enhetene sine.
Alvorlige sikkerhetsfeil i iPhone iOS er ganske lukrative og økonomisk givende på det mørke nettet:
De seks sikkerhetsproblemene 'Zero Interaction' ble oppdaget av Silvanovich og andre Google Project Zero sikkerhetsforsker Samuel Groß. Silvanovich vil holde en presentasjon om eksterne og 'Interaksjonelle' iPhone-sårbarheter på Black Hat-sikkerhetskonferansen som skal finne sted i Las Vegas neste uke.
' Null-interaksjon 'Eller' friksjonsfri Sårbarheter er spesielt farlige og forårsaker dyp bekymring blant sikkerhetseksperter. EN lite snutt om samtalen at Silvanovich vil levere på konferansen fremhever bekymringene for slike sikkerhetsfeil i iPhone iOS. “Det har gått rykter om eksterne sårbarheter som ikke krever brukervennlig interaksjon for å angripe iPhone, men begrenset informasjon er tilgjengelig om de tekniske aspektene ved disse angrepene på moderne enheter. Denne presentasjonen utforsker den eksterne, interaksjonsløse angrepsflaten til iOS. Den diskuterer potensialet for sårbarheter i SMS, MMS, Visual Voicemail, iMessage og Mail, og forklarer hvordan du setter opp verktøy for å teste disse komponentene. Den inneholder også to eksempler på sårbarheter oppdaget ved hjelp av disse metodene. ”
Google Project Zero Researchers avslører 5 'Zero Interaction' iMessage-feil, 4 løst i iOS 12.4 @Google
CVE-2019-8660 er en feil i minnekorrupsjonenTo av de avslørte feilene kan føre til krasj av iPhone GUI
En av forskerne vil detaljfeilene ved Black Hat USA 2019 pic.twitter.com/slkkkOoObE
- Daily Tech (@ VikasGoud1997) 30. juli 2019
Presentasjonen er satt til å være en av de mest populære på stevnet, først og fremst fordi iOS-bugs uten brukerinteraksjon er veldig sjeldne. De fleste iOS- og macOS-utnyttelser er avhengige av å lykkes med å lure offeret til å kjøre en app eller avsløre deres Apple ID-legitimasjon. En null-interaksjonsfeil krever bare å åpne en farget melding for å starte utnyttelsen. Dette øker sjansene for infeksjon eller sikkerhetskompromiss betydelig. De fleste smarttelefonbrukere har begrenset fast eiendom og ender opp med å åpne meldinger for å sjekke innholdet. En smart utformet og velformulert melding øker ofte den oppfattede autentisiteten eksponentielt, noe som ytterligere presser sjansene for suksess.
Silvanovich nevnte at slike ondsinnede meldinger kunne sendes via SMS, MMS, iMessage, Mail eller til og med Visual Voicemail. De trengte bare havne i offerets telefon og bli åpnet. 'Slike sårbarheter er den hellige gral til en angriper, slik at de kan hacke seg inn i ofrenes enheter uoppdaget.' Forresten, inntil i dag, ble slike minimale eller 'Zero Interaction' sikkerhetsproblemer bare funnet å ha blitt brukt av utnyttende leverandører og produsenter av juridiske avskjæringsverktøy og overvåkingsprogramvare. Dette betyr ganske enkelt slikt svært sofistikerte feil som forårsaker minst mulig mistanke oppdages og handles hovedsakelig av programvareleverandører som opererer på Dark Web. Kun statssponserte og fokuserte hackingsgrupper har vanligvis tilgang til dem. Dette er fordi leverandører som får tak i slike feil, selger dem for enorme summer.
I følge et prisdiagram publisert av Zerodium slike sårbarheter som selges på Dark Web eller det svarte markedet for programvare, kan koste over $ 1 million hver. Dette betyr at Silvanovich kan ha publisert detaljer om sikkerhetsutnyttelser som ulovlige programvareleverandører kan ha belastet hvor som helst mellom $ 5 millioner og $ 10 millioner. Crowdfense , en annen plattform som fungerer med sikkerhetsinformasjon, hevder at prisen lett kunne vært mye høyere. Plattformen baserer sine antagelser om at disse feilene var en del av “ ikke-klikk angrepskjede ”. Videre fungerte sårbarhetene på nyere versjoner av iOS-utnyttelser. Kombinert med det faktum at det var seks av dem, kunne en utnyttelsesleverandør lett tjent mer enn 20 millioner dollar for partiet.
Merker eple Cybersikkerhet Google ios
