Google překvapil uživatele iPhonů, iPadů a Maců od Applu: odhalil „četné nové zranitelnosti“
Google to, zdá se, opět dokázal. V loňském roce způsobili elitní lovci chyb tohoto technologického giganta v rámci projektu Zero mediální rozruch, když odhalili bezpečnostní chyby v systému Apple iOS, které umožňovaly hacknutí zařízení. Ukázalo se, že hackerské útoky, z nichž byla obviněna Čína, se netýkaly pouze společnosti Apple, a Google to schytal. Nyní tentýž tým Googlu přišel s dalším překvapivým odhalením „zaměřeným na ekosystém Apple“, které se zabývá základními zranitelnostmi, jež by mohly útočníkům poskytnout vstupní bod.
Načasování zprávy Googlu s lákavým názvem „Fuzzing ImageIO“ je stejně zajímavé jako její obsah. V posledním týdnu jsme byli svědky dvou bezpečnostních problémů společnosti Apple, které se dostaly na titulní stránky novin po celém světě. Nejprve bezpečnostní zpráva, která tvrdí, že vlastní poštovní aplikaci Apple lze nabourat pomocí zákeřně vytvořeného e-mailu, čímž se otevírají zadní vrátka pro další zneužití, a poté přirozeně virální příběh o textové bombě.
VÍCE Z FORBESBeware-This Malicious New iPhone ‚Text Bomb‘ Crashes iOS 13: Here’s What You DoBy Zak Doffman
Společným jmenovatelem těchto nedávných příběhů je varování, že lze zneužít základní zpracování systému. Spuštěním neočekávané softwarové reakce v zařízení lze přimět obvyklé uzamčené ovládací prvky, aby se chovaly nepředvídatelně. A to otevírá dveře pro útok, často využívající zcela jiný vektor. Zajímavé je, že i základní funkce, které používají miliardy lidí – pošta a zasílání zpráv – mají stále tento potenciál otevřít zadní vrátka.
A právě o stejném tématu včera (28. dubna) informoval tým projektu Zero společnosti Google, který „odhalil řadu nových zranitelností, jež byly mezitím opraveny“. Zranitelnosti jsou popsány jako „starý typ problému“, který se zaměřuje na mediální soubory odesílané přes platformy pro zasílání zpráv“ ve frameworku ImageIO. Podle zprávy společnosti Google bylo několik zranitelností „nalezeno, nahlášeno společnosti Apple nebo příslušným správcům open source knihoven obrázků a následně opraveno.“
Z uživatelského hlediska tedy platí, že pokud jste svůj operační systém aktualizovali, jak jste vždy měli, budete chráněni. No, tak nějak – tak jednoduché to není. Společnost Google varuje, že i když odhalené chyby samy o sobě nestačily k tomu, aby umožnily převzetí zařízení nebo závažnou exfiltraci dat, „při dostatečném úsilí lze některé z nalezených zranitelností využít pro scénář útoku“. A to je v podstatě typ rizika, které se uvádí u zranitelnosti pošty společnosti Apple. Ještě více však Google varuje, že „je také pravděpodobné, že další chyby přetrvávají nebo budou zavedeny v budoucnu.“
VÍCE Z FORBESUBezpečí – tato zákeřná nová „textová bomba“ pro iPhone rozbíjí iOS 13: Tady je, co máte dělatZak Doffman
Technicky není použití obrázků k odhalení zranitelností neobvyklé. V posledních několika měsících jsme zaznamenali zprávy ovlivňující populární platformy pro zasílání zpráv, které přesně toto dělají. Když je přijat obrázek, zařízení musí analyzovat data, aby zjistilo, jak s nimi naložit a jak je zobrazit – která čtečka a parametry zpracování. Většina toho, co posíláme, jsou běžné soubory JPEG, GIF nebo PNG, ale, jak říká Google, „existuje i řada poměrně exotických.“
Google testoval zabezpečení společnosti Apple pomocí fuzzingu obrázků, který v podstatě náhodně upravil data tak, aby zařízení nevědělo, jak s nimi zacházet, a při pokusu o jejich zpracování by případně do určité míry selhalo. Přístup společnosti Google neměl být vyčerpávající, ale ilustrativní, a upozornili, že sofistikovanější verze téhož přístupu by mohla přinést lepší výsledky. Na fuzzing obrázků nenavázali dalšími exploity, aby využili počáteční neúspěch.
Byla nalezena celá řada zranitelností, které byly zveřejněny a opraveny – proto zpráva. Google navrhuje, aby prodejci přijali „průběžné testování fuzz“, a také doporučuje, aby platformy pro zasílání zpráv odmítaly všechny formáty obrázků kromě těch nejběžnějších, „přinejmenším pro náhledy zpráv, které nevyžadují interakci“. Čím méně prostoru pro útoky, tím lépe, a jak tým zdůrazňuje, „tím by se plocha pro útoky snížila z přibližně 25 obrazových formátů na pouhou hrstku nebo méně.“
Tyto problémy by se před záplatováním týkaly všech operačních systémů společnosti Apple. Využití tohoto typu vektoru útoku, který učiní zařízení zranitelným ještě před jeho napadením, je často ústředním prvkem sofistikovaných kybernetických útoků, a to i na úrovni národních států. Hrozivé skupiny si odměňují exploity, u kterých si mohou být jisté, že budou fungovat na cílových zařízeních, a proto se zaměřují na zpracování jádra operačního systému nebo na hyperskalární platformy, jako je WhatsApp.
Společnost Apple mezitím bude doufat, že tím skončí poměrně úmorných několik dní odhalování bezpečnostních chyb. Společnost tyto problémy opravila a totéž dělá i v případě zranitelností pošty a textových zpráv. Jako vždy je však problémem otřesení důvěry uživatelů. A pro Apple, který si zakládá na bezpečnosti své platformy, to nikdy nejsou dobré příběhy, které by se dostaly na titulní stránky médií.