Google surprinde utilizatorii de iPhone, iPad și Mac de la Apple: „Numeroase noi vulnerabilități” dezvăluite

Ilustrații de aplicații tehnologice

NurPhoto via Getty Images

Se pare că Google tocmai a făcut-o din nou. Anul trecut, vânătorii de bug-uri de elită ai gigantului tehnologic, Project Zero, au stârnit o mare vâlvă mediatică prin dezvăluirea unor vulnerabilități de securitate în Apple iOS care permiteau piratarea dispozitivelor. S-a dovedit că atacurile informatice – puse pe seama Chinei – nu s-au limitat doar la Apple, iar Google a fost criticat. Acum, aceeași echipă Google a lansat o altă dezvăluire surpriză „axată pe ecosistemul Apple”, analizând vulnerabilitățile de bază care ar putea oferi atacatorilor un punct de intrare.

Timparea raportului Google, intitulat în mod ispititor „Fuzzing ImageIO”, este la fel de interesantă ca și conținutul. În ultima săptămână am asistat la două probleme de securitate Apple care au ținut prima pagină a ziarelor din întreaga lume. În primul rând, un raport de securitate care susține că aplicația de poștă electronică a Apple poate fi blocată cu un e-mail elaborat în mod malițios, deschizând un backdoor pentru alte exploatări, iar apoi povestea cu textul bombă, în mod natural virală.

MAI MULT DE LA FORBESAtenție – Această nouă „bombă de text” malițioasă pentru iPhone prăbușește iOS 13: Iată ce trebuie să facețiDe Zak Doffman

Dominatorul comun al acestor povești recente este avertismentul că procesarea de bază a sistemului poate fi exploatată. Prin declanșarea unui răspuns software neașteptat pe un dispozitiv, controalele obișnuite blocate pot fi făcute să se comporte în mod imprevizibil. Iar acest lucru deschide ușa pentru un atac, adesea folosind un vector complet diferit. Ceea ce este interesant este că până și funcțiile de bază folosite de miliarde de oameni – poșta electronică și mesageria – au încă acest potențial de a deschide o ușă din spate.

Și aceeași temă a fost raportată ieri (28 aprilie) de către echipa Project Zero de la Google, care a „scos la iveală numeroase vulnerabilități noi, care au fost între timp remediate”. Vulnerabilitățile sunt descrise ca fiind „un tip vechi de problemă”, care vizează fișierele media trimise prin intermediul platformelor de mesagerie” în cadrul ImageIO. Potrivit raportului Google, mai multe vulnerabilități „au fost descoperite, raportate către Apple sau către întreținătorii bibliotecilor de imagini open source respective și, ulterior, remediate.”

Și astfel, din perspectiva utilizatorului, dacă v-ați actualizat sistemul de operare așa cum ar trebui să faceți întotdeauna, veți fi protejat. Ei bine, într-un fel – nu este atât de simplu. Google avertizează că, chiar dacă defectele dezvăluite nu au fost în sine suficiente pentru a permite preluarea unui dispozitiv sau o exfiltrare serioasă de date, „cu un efort suficient, unele dintre vulnerabilitățile descoperite pot fi exploatate într-un scenariu de atac”. Și acesta este, practic, tipul de risc invocat pentru vulnerabilitatea e-mailului de la Apple. Mai exact, însă, Google avertizează, de asemenea, că „este, de asemenea, probabil ca și alte erori să rămână sau să fie introduse în viitor.”

MAI MULT DE LA FORBESAtenție – Această nouă „bombă textuală” malițioasă pentru iPhone blochează iOS 13: Iată ce trebuie să facețiDe Zak Doffman

Tehnic, utilizarea imaginilor pentru a expune vulnerabilitățile nu este neobișnuită. În ultimele câteva luni am văzut rapoarte cu impact asupra unor platforme populare de mesagerie care fac exact acest lucru. Atunci când se primește o imagine, dispozitivul trebuie să analizeze datele pentru a afla cum să o gestioneze și să o afișeze – ce cititor și ce parametri de manipulare. Cea mai mare parte a ceea ce trimitem sunt JPEG-uri obișnuite sau GIFS sau PNG-uri, dar, spune Google, „există și numeroase imagini destul de exotice.”

Google a testat securitatea Apple prin fuzzing-ul imaginilor, în esență randomizând datele astfel încât dispozitivul nu ar ști cum să le gestioneze și ar putea cădea într-o oarecare măsură încercând. Abordarea celor de la Google nu s-a dorit a fi exhaustivă, ci ilustrativă, și au subliniat că o versiune mai sofisticată a aceleiași abordări ar fi putut da rezultate mai bune. Ei nu au urmărit fuzzing-ul imaginii cu alte exploatări pentru a profita de eșecul inițial.

Au fost găsite o grămadă de vulnerabilități, care au fost dezvăluite și au fost corectate – de aceea și raportul. Google sugerează furnizorilor să adopte „testarea continuă a fuzz-testării” și recomandă, de asemenea, ca platformele de mesagerie să respingă toate formatele de imagine, cu excepția celor mai comune, „cel puțin pentru previzualizările mesajelor care nu necesită interacțiune”. Cu cât mai puține posibilități de atac, cu atât mai bine și, după cum subliniază echipa, „acest lucru ar reduce suprafața de atac de la aproximativ 25 de formate de imagine la doar o mână sau mai puțin.”

Aceste probleme ar afecta toate sistemele de operare Apple înainte de patch-uri. Utilizarea acestui tip de vector de atac pentru a face un dispozitiv vulnerabil înainte ca acesta să fie atacat este adesea esențială pentru atacurile cibernetice sofisticate, chiar și la nivel de stat-națiune. Grupurile de amenințare prețuiesc exploatările de care pot fi siguri că vor rula pe dispozitivele țintă, motiv pentru care se concentrează pe procesarea nucleului sistemului de operare sau pe platformele hiper-scale precum WhatsApp.

Între timp, Apple va spera că acest lucru pune capăt unor zile destul de toride de dezvăluiri de securitate. Compania a remediat aceste probleme și face același lucru cu vulnerabilitățile de e-mail și text. Dar, ca întotdeauna, zdruncinarea încrederii utilizatorilor este o problemă. Iar pentru Apple, care se comercializează pe baza securității platformei sale, acestea nu sunt niciodată povești bune de văzut făcând titlurile din mass-media.

.