Google overrasker Apple-brugere af iPhone, iPad og Mac: ‘Talrige nye sårbarheder’ afsløret
Google har tilsyneladende lige gjort det igen. Sidste år vakte techgigantens elite Project Zero-fejljægere opsigt i medierne ved at afsløre sikkerhedssårbarheder i Apple iOS, som gjorde det muligt at hacke enheder. Det viste sig, at hackerangrebene – som Kina fik skylden for – ikke kun var begrænset til Apple, og Google fik en del kritik. Nu har det samme Google-team lanceret endnu en overraskende afsløring “med fokus på Apple-økosystemet”, hvor man ser på grundlæggende sårbarheder, der kan give angribere et indgangspunkt.
Den tidsmæssige placering af Googles rapport, der har den fristende titel “Fuzzing ImageIO”, er lige så interessant som indholdet. I den seneste uge har vi oplevet to Apple-sikkerhedsproblemer, der har skabt overskrifter verden over. Først en sikkerhedsrapport, der hævder, at Apples egen mail-app kan styrte ned med en ondsindet udformet e-mail, hvilket åbner en bagdør for yderligere udnyttelser, og derefter den naturligvis virale tekstbombe-historie.
MERE FRA FORBESBeware-Denne ondsindede nye iPhone-“tekstbombe” får iOS 13 til at gå ned: Her er, hvad du skal gøreAf Zak Doffman
Den fællesnævner med disse seneste historier er advarslen om, at grundlæggende systembehandling kan udnyttes. Ved at udløse en uventet softwarereaktion på en enhed kan de sædvanlige låste kontrolelementer få de sædvanlige låste kontrolelementer til at opføre sig uforudsigeligt. Og det åbner døren for et angreb, ofte ved hjælp af en helt anden vektor. Det interessante er, at selv de grundlæggende funktioner, der bruges af milliarder af mennesker – e-mail og beskeder – stadig har dette potentiale til at åbne en bagdør.
Og det er det samme tema, der i går (28. april) blev rapporteret af Googles Project Zero team, som har “afsløret adskillige nye sårbarheder, som siden er blevet rettet”. Sårbarhederne beskrives som “en gammel type problem”, der er rettet mod mediefiler, der sendes over meddelelsesplatforme” i ImageIO-rammen. Ifølge Googles rapport blev flere sårbarheder “fundet, rapporteret til Apple eller de respektive vedligeholdere af open source-billedbiblioteker og efterfølgende rettet.”
Så fra et brugerperspektiv er du altså beskyttet, hvis du har opdateret dit styresystem, som du altid bør, som du bør. Tja, på en måde – så enkelt er det ikke. Google advarer om, at selv om de afslørede fejl ikke i sig selv var nok til at muliggøre en overtagelse af en enhed eller alvorlig dataekfiltrering, “kan nogle af de fundne sårbarheder med tilstrækkelig indsats udnyttes til i et angrebsscenarie”. Og det er grundlæggende den type risiko, der hævdes for Apples mailsårbarhed. Mere præcist advarer Google dog også om, at “det er også sandsynligt, at andre fejl forbliver eller vil blive introduceret i fremtiden.”
MERE FRA FORBESBAREVÆR OPMÆRksom – denne ondsindede nye iPhone ‘tekstbombe’ ødelægger iOS 13: Her er hvad du skal gøreAf Zak Doffman
Teknisk set er det ikke ualmindeligt at bruge billeder til at afsløre sårbarheder. Vi har set rapporter, der har påvirket populære meddelelsesplatforme i de sidste par måneder, som gør netop dette. Når et billede modtages, skal enheden analysere dataene for at finde ud af, hvordan den skal håndtere og vise det – hvilken læser og hvilke håndteringsparametre. Det meste af det, vi sender, er almindelige JPEG’er, GIF’er eller PNG’er, men ifølge Google “er der også mange ret eksotiske billeder.”
Google testede Apples sikkerhed ved at fuzze billeder, hvilket i det væsentlige betyder, at dataene randomiseres, således at enheden ikke ved, hvordan den skal håndtere dem, og potentielt vil falde omkuld i et vist omfang ved at forsøge. Googles fremgangsmåde var ikke beregnet til at være udtømmende, men illustrativ, og de har påpeget, at en mere sofistikeret version af samme fremgangsmåde måske havde givet bedre resultater. De fulgte ikke op på image fuzzing med andre exploits for at drage fordel af den indledende fiasko.
En hel masse sårbarheder blev fundet, offentliggjort og er blevet patchet – sådan står der i rapporten. Google foreslår, at leverandører indfører “kontinuerlig fuzz-testning” og anbefaler også, at meddelelsesplatforme afviser alle undtagen de mest almindelige billedformater, “i det mindste for beskedforhåndsvisninger, der ikke kræver interaktion”. Jo mindre muligheder for angreb, jo bedre, og som teamet påpeger, “det ville reducere angrebsfladen fra omkring 25 billedformater ned til kun en håndfuld eller mindre.”
Disse problemer ville påvirke alle Apples operativsystemer før patching. Brugen af denne type angrebsvektor til at gøre en enhed sårbar, før den angribes, er ofte central for sofistikerede cyberangreb, selv på nationalstatsligt niveau. Trusselsgrupper sætter pris på udnyttelser, som de kan være sikre på vil køre på målenheder, hvilket er grunden til, at de fokuserer på kerne OS-behandling eller hyperskalaplatforme som WhatsApp.
I mellemtiden vil Apple håbe, at dette sætter en stopper for et par ret hæsblæsende dage med sikkerhedsafsløringer. Virksomheden har lappet disse problemer og er i gang med at gøre det samme med sårbarhederne i mail og tekst. Men som altid er det et spørgsmål om at ryste brugernes tillid. Og for Apple, som markedsfører sig selv på sikkerheden i sin platform, er det aldrig gode historier at se i overskrifterne i medierne.