Google zaskakuje Apple iPhone, iPad, Mac Użytkownicy: 'Liczne nowe luki’ ujawnione
Google, wydaje się, właśnie zrobił to ponownie. W zeszłym roku, gigant technologiczny elitarny Projekt Zero łowców błędów spowodował poruszenie mediów poprzez ujawnienie luk w zabezpieczeniach systemu Apple iOS, które umożliwiły włamanie do urządzeń. Okazało się, że hacki – obwiniane na Chiny – nie były ograniczone tylko do Apple, a Google wziął trochę flak. Teraz ten sam zespół Google rozpoczęła kolejną niespodziankę ujawnienia „koncentruje się na ekosystemie Apple,” patrząc na podstawowe luki, które mogą zapewnić atakującym punkt wejścia.
Czas na raport Google, kusząco zatytułowany „Fuzzing ImageIO” jest równie interesujące, jak zawartość. W ostatnim tygodniu byliśmy świadkami dwóch problemów bezpieczeństwa Apple, które trafiły na pierwsze strony gazet na całym świecie. Po pierwsze, raport bezpieczeństwa twierdząc Apple własnej aplikacji pocztowej może być rozbity z złośliwie spreparowanych wiadomości e-mail, otwierając tylną furtkę dla dalszych exploitów, a następnie naturalnie wirusowej historii bomby tekstowej.
MORE FROM FORBESBeware-This Malicious New iPhone 'Text Bomb’ Crashes iOS 13: Here’s What You DoBy Zak Doffman
Wspólnym mianownikiem z tych ostatnich historii jest ostrzeżenie, że podstawowe przetwarzanie systemu mogą być wykorzystane. Wywołując nieoczekiwaną reakcję oprogramowania na urządzeniu, zwykłe zablokowane kontrole mogą być wykonane, aby zachowywać się nieprzewidywalnie. A to otwiera drzwi do ataku, często z wykorzystaniem zupełnie innego wektora. Co ciekawe, nawet podstawowe funkcje używane przez miliardy-mail i messaging-still mają ten potencjał, aby otworzyć tylne drzwi.
I to jest ten sam temat, który został zgłoszony wczoraj (28 kwietnia) przez Google Project Zero zespołu, który „okazało się liczne nowe luki, które od tego czasu zostały naprawione.” Luki zostały opisane jako „stary typ problemu”, skierowany na pliki multimedialne przesyłane przez platformy komunikacyjne” w frameworku ImageIO. Według raportu Google, wiele luk „zostały znalezione, zgłoszone do Apple lub odpowiednich opiekunów bibliotek obrazów open source, a następnie naprawione.”
I tak, z perspektywy użytkownika, jeśli masz zaktualizowany system operacyjny, jak zawsze powinien, będziesz chroniony. Cóż, w pewnym sensie – to nie jest takie proste. Google ostrzega, że nawet przez błędy ujawnione nie były same w sobie wystarczające, aby umożliwić przejęcie urządzenia lub poważnej exfiltracji danych, „przy wystarczającym wysiłku, niektóre z odkrytych luk mogą być wykorzystane do w scenariuszu ataku.” I to jest w zasadzie rodzaj ryzyka twierdził, że dla Apple’s mail luki. Więcej do punktu, choć, Google ostrzega również, że „jest również prawdopodobne, że inne błędy pozostają lub zostaną wprowadzone w przyszłości.”
MORE FROM FORBESBeware-This Malicious New iPhone 'Text Bomb’ Crashes iOS 13: Here’s What You DoBy Zak Doffman
Technicznie, wykorzystanie obrazów do ujawnienia luk nie jest rzadkością. Widzieliśmy raporty wpływające popularnych platform messaging w ciągu ostatnich kilku miesięcy, które robią dokładnie to. Kiedy obraz jest odbierany, urządzenie musi przeanalizować dane, aby dowiedzieć się, jak nim zarządzać i wyświetlać – który czytnik i jakie parametry obsługi. Większość z tego, co wysyłamy jest wspólne JPEGs lub GIFS lub PNGs, ale, mówi Google, „istnieje wiele raczej egzotyczne, jak również.”
Google przetestował bezpieczeństwo Apple przez fuzzing obrazów, zasadniczo losowo danych tak, że urządzenie nie będzie wiedział, jak go obsługiwać i potencjalnie spadnie do pewnego stopnia próbuje. Podejście Google nie miało być wyczerpujące, ale ilustracyjne, i zwrócili uwagę, że bardziej wyrafinowana wersja tego samego podejścia może przynieść lepsze wyniki. Nie zastosowali fuzzingu obrazu z innymi exploitami, aby wykorzystać początkowe niepowodzenie.
Cała masa luk została znaleziona, ujawniona i załatana – stąd raport. Google sugeruje sprzedawcom przyjęcie „ciągłego fuzz-testingu”, a także zaleca platformom komunikacyjnym odrzucenie wszystkich oprócz najbardziej popularnych formatów obrazów, „przynajmniej w przypadku podglądów wiadomości, które nie wymagają interakcji”. Im mniejszy zakres dla ataków tym lepiej, i jak zespół wskazuje „że zmniejszy powierzchnię ataku z około 25 formatów obrazu w dół do zaledwie garstki lub mniej.”
Te problemy wpłynęłyby na wszystkie systemy operacyjne Apple przed łatania. Wykorzystanie tego typu wektora ataku, aby uczynić urządzenie podatnym na ataki, zanim zostanie zaatakowane, jest często głównym elementem wyrafinowanych ataków cybernetycznych, nawet na poziomie państwa narodowego. Grupy zagrożenia nagrody exploity, które mogą być pewni, że będzie działać na urządzeniach docelowych, dlatego koncentrują się na rdzeniu przetwarzania OS lub hiper skali platform, takich jak WhatsApp.
W międzyczasie, Apple będzie nadzieję, że to przynosi dość gorączkowy kilka dni ujawnień bezpieczeństwa do końca. Firma załatała te problemy i robi to samo z pocztą i lukami tekstowymi. Ale, jak zawsze, wstrząsające zaufanie użytkowników jest problemem. I dla Apple, który sprzedaje się na bezpieczeństwo swojej platformy, te nigdy nie są dobre historie, aby zobaczyć podejmowania nagłówki mediów.