Amaya Tomanová Bezpečnostní experti z Googlu odhalili v operačním systému iOS celkem šest takzvaných „Zero interaction“ zranitelností. Jedná se o bezpečnostní chyby, které případným útočníkům umožňují převzít nad zařízením kontrolu. K tomu stačí jen to, aby uživatel přijal a otevřel příslušnou zprávu. Pět z těchto zranitelností bylo opraveno s příchodem iOS 12.4, poslední z nich ale Apple dosud neopravil.
Detaily týkající se zranitelností zveřejnila tento týden spolu s kódem dvojice elitních členů skupiny Project Zero zaměřující se na vyhledávání chyb. Útok, zasahující operační systém iOS, bylo možné provést prostřednictvím iMessage.
Mohlo by vás zajímat
David Hanák Čtyři z těchto šesti zranitelností mohou podle bezpečnostních expertů vést ke spuštění škodlivého kódu přes vzdálené iOS zařízení, aniž by byla zapotřebí jakákoliv interakce ze strany uživatele. Vše, co případný útočník potřebuje, je odeslání specifické zprávy na telefon oběti. Ve chvíli, kdy dotyčný zprávu otevře a prohlédne si ji, se kód automaticky spustí.
Další dvě chyby zase umožňují útočníkům extrahovat data z paměti zařízení a přečíst vybrané soubory – opět ze vzdáleného iOS zařízení. Ani k provedení tohoto útoku není zapotřebí interakce ze strany uživatele.
Navzdory tomu, že se Apple pokusil všech šest chyb odstranit v iOS 12.4, podle expertů z Googlu nedošlo ke stoprocentně úspěšné opravě jedné z nich. Bližší detaily ohledně zmíněné neopravené chyby ovšem zůstávají vzhledem k okolnostem v utajení. Podrobnosti týkající se pětice zbylých chyb budou odhaleny v rámci bezpečnostní konference, jež se uskuteční příští týden v Las Vegas. Bezpečnostní experti z Googlu nejprve o chybách informovali Apple, než došlo ke zveřejnění v médiích.
Mohlo by vás zajímat
Zranitelnosti typu „Zero-interaction“ patří mezi poměrně nebezpečné, protože po uživateli nepožadují spuštění konkrétní aplikace nebo zadání citlivých údajů. Stačí například otevřít zprávu, která může být zaslána jako iMessage, SMS, MMS, nebo třeba e-mail.
Zdroj: 9to5Mac
