Google yllättää Applen iPhone-, iPad- ja Mac-käyttäjät: ”Lukuisia uusia haavoittuvuuksia” paljastui
Google on näköjään tehnyt sen taas. Viime vuonna teknologiajätin eliitti Project Zero -bugienmetsästäjät aiheuttivat mediakohua paljastamalla Applen iOS:n tietoturva-aukkoja, jotka mahdollistivat laitteiden hakkeroinnin. Kävi ilmi, että hakkerointi, josta syytettiin Kiinaa, ei rajoittunut vain Appleen, ja Google sai osansa. Nyt sama Googlen tiimi on julkaissut toisen yllättävän paljastuksen, joka ”keskittyy Applen ekosysteemiin” ja jossa tarkastellaan perushaavoittuvuuksia, jotka saattavat tarjota hyökkääjille pääsyn sisään.
Googlen raportin, jonka houkutteleva nimi on ”Fuzzing ImageIO”, ajoitus on yhtä mielenkiintoinen kuin sen sisältö. Viime viikolla kaksi Applen tietoturvaongelmaa on noussut otsikoihin ympäri maailmaa. Ensin tietoturvaraportti, jossa väitetään, että Applen oma sähköpostisovellus voidaan kaataa pahantahtoisesti muotoillulla sähköpostilla, mikä avaa takaoven lisähyökkäyksille, ja sitten luonnollisesti leviävä tekstipommitarina.
LISÄTIETOJA FORBESISTABeware-This Malicious New iPhone ’Text Bomb’ Crashes iOS 13: Here’s What You DoBy Zak Doffman
Yhteinen nimittäjä näille viimeaikaisille tarinoille on varoitus siitä, että järjestelmän peruskäsittelyä voidaan hyödyntää. Laukaisemalla laitteessa odottamaton ohjelmistovaste, tavanomaiset lukitut kontrollit voidaan saada käyttäytymään arvaamattomasti. Ja se avaa oven hyökkäykselle, usein käyttäen täysin erilaista vektoria. Mielenkiintoista on, että jopa miljardien käyttämissä perustoiminnoissa, kuten sähköpostissa ja viestinvälityksessä, on edelleen potentiaalia avata takaovi.
Ja tästä samasta teemasta kertoi eilen (28.4.) Googlen Project Zero -tiimi, joka on ”löytänyt lukuisia uusia haavoittuvuuksia, jotka on sittemmin korjattu”. Haavoittuvuuksia kuvataan ”vanhan tyyppisiksi ongelmiksi”, jotka kohdistuvat viestialustojen kautta lähetettäviin mediatiedostoihin” ImageIO-kehyksessä. Googlen raportin mukaan useita haavoittuvuuksia ”löydettiin, raportoitiin Applelle tai vastaaville avoimen lähdekoodin kuvakirjastojen ylläpitäjille ja korjattiin sittemmin.”
Käyttäjän näkökulmasta katsottuna, jos olet päivittänyt käyttöjärjestelmäsi, kuten aina pitäisi, olet siis suojattu. No, tavallaan – se ei ole niin yksinkertaista. Google varoittaa, että vaikka paljastetut puutteet eivät itsessään riitä mahdollistamaan laitteen haltuunottoa tai vakavaa tietojen siirtoa, ”riittävällä vaivalla joitakin löydetyistä haavoittuvuuksista voidaan käyttää hyväksi hyökkäysskenaariossa”. Ja se on periaatteessa juuri sellainen riski, jota väitetään Applen sähköpostin haavoittuvuuden osalta. Enemmänkin Google kuitenkin varoittaa, että ”on myös todennäköistä, että muita bugeja on edelleen olemassa tai niitä otetaan käyttöön tulevaisuudessa.”
LISÄÄ FORBESISTABeware-This Malicious New iPhone ’Text Bomb’ Crashes iOS 13: Here’s What You DoBy Zak Doffman
Teknisesti katsottuna kuvien käyttö haavoittuvuuksien paljastamiseen ei ole harvinaista. Olemme nähneet viime kuukausina raportteja, jotka vaikuttavat suosittuihin viestialustoihin ja jotka tekevät juuri näin. Kun kuva vastaanotetaan, laitteen on analysoitava tiedot selvittääkseen, miten sitä voidaan hallita ja näyttää – mikä lukija ja käsittelyparametrit. Suurin osa lähettämistämme kuvista on tavallisia JPEG-, GIFS- tai PNG-kuvia, mutta Googlen mukaan ”on olemassa myös lukuisia melko eksoottisia kuvia.”
Google testasi Applen tietoturvaa fuzzing-kuvilla, eli periaatteessa satunnaistamalla dataa niin, että laite ei tietäisi, miten sitä pitäisi käsitellä, ja mahdollisesti kaatuisi jossain määrin yrittäessään. Googlen lähestymistavan ei ollut tarkoitus olla tyhjentävä vaan havainnollistava, ja he ovat huomauttaneet, että saman lähestymistavan kehittyneempi versio olisi saattanut tuottaa parempia tuloksia. He eivät seuranneet kuvien fuzzingia muilla hyväksikäyttökohteilla hyödyntääkseen alkuperäistä epäonnistumista.
Koko joukko haavoittuvuuksia löydettiin, julkistettiin ja ne on paikattu – siksi raportti. Google kehottaa myyjiä ottamaan käyttöön ”jatkuvan fuzz-testauksen” ja suosittelee myös, että viestialustat hylkäävät kaikki muut kuin yleisimmät kuvaformaatit, ”ainakin viestien esikatselussa, joka ei vaadi vuorovaikutusta”. Mitä vähemmän mahdollisuuksia hyökkäyksille on, sitä parempi, ja kuten tiimi huomauttaa, ”tämä vähentäisi hyökkäyspinnan noin 25:stä kuvaformaatista vain kouralliseen tai vähemmän.”
Nämä ongelmat vaikuttaisivat kaikkiin Applen käyttöjärjestelmiin ennen korjausta. Tämäntyyppisen hyökkäysvektorin käyttö laitteen haavoittuvaksi tekemiseen ennen hyökkäystä on usein keskeistä kehittyneissä kyberhyökkäyksissä, jopa kansallisvaltioiden tasolla. Uhkaryhmät palkitsevat hyväksikäyttökohteita, joista ne voivat olla varmoja, että ne toimivat kohdelaitteissa, minkä vuoksi ne keskittyvät käyttöjärjestelmän ydinkäsittelyyn tai WhatsAppin kaltaisiin hyperskaala-alustoihin.
Sillä välin Apple toivoo, että tämä päättää melko kiihkeät tietoturvapaljastukset muutamaksi päiväksi. Yhtiö on paikannut nämä ongelmat ja on tekemässä samaa sähköpostin ja tekstin haavoittuvuuksille. Mutta kuten aina, käyttäjien luottamuksen horjuttaminen on ongelma. Ja Applelle, joka markkinoi itseään alustansa turvallisuudella, nämä jutut eivät koskaan ole hyviä juttuja median otsikoissa.