A Google meglepte az Apple iPhone, iPad, Mac felhasználóit: “Számos új sebezhetőséget” tártak fel
A Google, úgy tűnik, ismét megtette. Tavaly a technológiai óriás elit Project Zero hibavadászai nagy port kavartak a médiában azzal, hogy olyan biztonsági réseket tártak fel az Apple iOS-ben, amelyek lehetővé tették a készülékek feltörését. Kiderült, hogy a Kínának tulajdonított hackerek nem csak az Apple-re korlátozódtak, és a Google-t is érte némi támadás. Most ugyanez a Google-csapat egy újabb meglepetésszerű közzétételt tett, amely “az Apple ökoszisztémára összpontosít”, és olyan alapvető sebezhetőségeket vizsgál, amelyek a támadók számára belépési pontot jelenthetnek.
A Google “Fuzzing ImageIO” csábító címet viselő jelentésének időzítése legalább annyira érdekes, mint a tartalma. Az elmúlt héten az Apple két biztonsági problémája került a címlapokra világszerte. Először egy biztonsági jelentés, amely szerint az Apple saját levelezőalkalmazása egy rosszindulatúan szerkesztett e-maillel összeomolhat, ami kiskaput nyit további kihasználásokhoz, majd a természetesen vírusként terjedő szövegbomba-sztori.
TOVÁBB A FORBES-rőlVigyázz-ez a rosszindulatú új iPhone “szövegbomba” összeomlasztja az iOS 13-at: Itt van, mit kell tennedBy Zak Doffman
A közös nevező ezekkel a mostani történetekkel az a figyelmeztetés, hogy az alapvető rendszerfeldolgozás kihasználható. Azáltal, hogy váratlan szoftverreakciót váltanak ki a készüléken, a szokásos lezárt vezérlők kiszámíthatatlan viselkedésre késztethetők. És ez megnyitja az utat egy támadás előtt, gyakran egy teljesen más vektort használva. Ami érdekes, hogy még a milliárdok által használt alapvető funkciók – a levelezés és az üzenetküldés – is rendelkeznek azzal a potenciállal, hogy hátsó ajtót nyissanak.”
És ugyanerről a témáról számolt be tegnap (április 28-án) a Google Project Zero csapata, amely “számos új sebezhetőséget tárt fel, amelyeket azóta már javítottak”. A sebezhetőségek leírása szerint “egy régi típusú probléma”, amely az üzenetküldő platformokon keresztül küldött médiafájlokat célozza” az ImageIO keretrendszerben. A Google jelentése szerint több sebezhetőséget “találtak, jelentették az Apple-nek vagy a megfelelő nyílt forráskódú képkönyvtárak karbantartóinak, és ezt követően javították.”
A felhasználó szempontjából tehát, ha frissítette az operációs rendszerét, ahogy azt mindig is kellett, akkor védve van. Nos, mondhatni – ez nem ilyen egyszerű. A Google arra figyelmeztet, hogy még ha a nyilvánosságra hozott hibák önmagukban nem is voltak elégségesek ahhoz, hogy lehetővé tegyenek egy eszköz átvételét vagy komoly adatszivárgást, “elegendő erőfeszítéssel a talált sebezhetőségek némelyike kihasználható egy támadási forgatókönyvben”. És alapvetően ez az a fajta kockázat, amelyet az Apple levelezési sebezhetőségére állítottak. De ami ennél is fontosabb, a Google arra is figyelmeztet, hogy “valószínű, hogy más hibák is fennmaradnak, vagy a jövőben bevezetésre kerülnek.”
TOVÁBB A FORBES-rőlVigyázz-ez a rosszindulatú új iPhone “szövegbomba” összeomlasztja az iOS 13-at: Itt van, mit kell tennedBy Zak Doffman
Technikailag nem szokatlan a képek használata a sebezhetőségek felfedésére. Az elmúlt hónapokban láttunk népszerű üzenetküldő platformokat érintő jelentéseket, amelyek pontosan ezt teszik. Amikor egy kép érkezik, az eszköznek elemeznie kell az adatokat, hogy kitalálja, hogyan kell kezelni és megjeleníteni – melyik olvasó és kezelési paraméterek. A legtöbb, amit küldünk, közönséges JPEG, GIFS vagy PNG, de – mondja a Google – “számos meglehetősen egzotikus kép is létezik.”
A Google a képek fuzzolásával tesztelte az Apple biztonságát, lényegében véletlenszerűvé téve az adatokat úgy, hogy az eszköz nem tudná, hogyan kezelje azokat, és potenciálisan bizonyos mértékig elbukna, ha megpróbálná. A Google megközelítése nem volt kimerítő, hanem szemléltető jellegű, és rámutattak, hogy ugyanennek a megközelítésnek egy kifinomultabb változata talán jobb eredményeket hozott volna. Nem követték nyomon a képfuzzingot más exploitokkal, hogy kihasználják a kezdeti kudarcot.
Egy egész rakás sebezhetőséget találtak, nyilvánosságra hoztak és foltoztak – így a jelentés. A Google javasolja a gyártóknak a “folyamatos fuzz-tesztelést”, és azt is javasolja, hogy az üzenetküldő platformok a leggyakoribb képformátumok kivételével minden más képformátumot utasítsanak el, “legalábbis az interakciót nem igénylő üzenetelőnézetek esetében”. Minél kevesebb lehetőség van a támadásokra, annál jobb, és ahogy a csapat rámutat: “Ez a támadási felületet körülbelül 25 képformátumról mindössze néhányra vagy kevesebbre csökkentené.”
Ezek a problémák az Apple összes operációs rendszerét érintenék a javítás előtt. Az ilyen típusú támadási vektorok használata egy eszköz sebezhetővé tételére, mielőtt azt megtámadnák, gyakran központi szerepet játszik a kifinomult kibertámadásokban, még nemzetállami szinten is. A fenyegető csoportok olyan exploitokat díjaznak, amelyekről biztosak lehetnek abban, hogy a célkészülékeken futni fognak, ezért a központi operációs rendszerek feldolgozására vagy az olyan hiperskála platformokra összpontosítanak, mint a WhatsApp.
Eközben az Apple reméli, hogy ezzel véget ér a biztonsági nyilvánosságra hozatalok meglehetősen forró néhány napja. A vállalat befoltozta ezeket a problémákat, és ugyanezt teszi a levél- és szöveges sebezhetőségekkel is. De mint mindig, most is kérdéses a felhasználók bizalmának megrendülése. És az Apple számára, amely a platformja biztonsága alapján forgalmazza magát, ezek a történetek sosem jó, ha a média címlapjára kerülnek.