Google överraskar Apple iPhone, iPad, Mac-användare: ”Många nya sårbarheter” avslöjas
Google, det verkar, har precis gjort det igen. Förra året orsakade teknikjättens elitjägare Project Zero buggrävare en mediauppståndelse genom att avslöja säkerhetsbrister i Apple iOS som gjorde det möjligt att hacka enheter. Det visade sig att hackningarna – som skylldes på Kina – inte bara var begränsade till Apple, och Google fick ta emot en del kritik. Nu har samma Google-team lanserat ytterligare ett överraskande avslöjande ”med fokus på Apples ekosystem”, där man tittar på grundläggande sårbarheter som kan ge angriparna en inkörsport.
Tidpunkten för Googles rapport, med den lockande titeln ”Fuzzing ImageIO”, är lika intressant som innehållet. Under den senaste veckan har vi sett två Apple-säkerhetsfrågor göra rubriker runt om i världen. Först en säkerhetsrapport som hävdar att Apples egen e-postapp kan kraschas med ett illasinnat utformat e-postmeddelande, vilket öppnar en bakdörr för ytterligare exploateringar, och sedan den naturligt virala textbombhistorien.
MER FRÅN FORBESPåpassa dig – den här skadliga nya iPhone-”textbomben” kraschar iOS 13: Så här gör duBy Zak Doffman
Den gemensamma nämnaren för de senaste berättelserna är varningen om att grundläggande systembehandling kan utnyttjas. Genom att utlösa ett oväntat programvarusvar på en enhet kan de vanliga låsta kontrollerna fås att bete sig oförutsägbart. Och det öppnar dörren för en attack, ofta med hjälp av en helt annan vektor. Det intressanta är att även de grundläggande funktioner som används av miljarder människor – e-post och meddelanden – fortfarande har den potentialen att öppna en bakdörr.
Och det är samma tema som i går (28 april) rapporterades av Googles Project Zero team, som har ”visat upp ett flertal nya sårbarheter som sedan dess har rättats”. Sårbarheterna beskrivs som ”en gammal typ av problem” som riktar sig mot mediefiler som skickas över meddelandeplattformar” i ImageIO-ramverket. Enligt Googles rapport har flera sårbarheter ”hittats, rapporterats till Apple eller respektive ansvariga för bildbibliotek med öppen källkod och därefter åtgärdats.”
Och så, ur ett användarperspektiv, om du har uppdaterat ditt operativsystem som du alltid bör, är du skyddad. Tja, på sätt och vis – det är inte så enkelt. Google varnar för att även om de brister som avslöjades inte i sig själva var tillräckliga för att möjliggöra ett övertagande av en enhet eller allvarlig dataexfiltration, ”med tillräcklig ansträngning kan vissa av de funna sårbarheterna utnyttjas för i ett attackscenario”. Och det är i princip den typ av risk som hävdas för Apples e-postsårbarhet. Google varnar också för att ”det är också troligt att andra buggar finns kvar eller kommer att införas i framtiden.”
MER FRÅN FORBESPÅVERK – Den här skadliga nya iPhone-”textbomben” kraschar iOS 13: Så här gör duBy Zak Doffman
Tekniskt sett är det inte ovanligt att man använder bilder för att avslöja sårbarheter. Vi har sett rapporter som påverkat populära meddelandeplattformar under de senaste månaderna och som gör just detta. När en bild tas emot måste enheten analysera data för att ta reda på hur den ska hantera och visa den – vilken läsare och vilka hanteringsparametrar. Det mesta vi skickar är vanliga JPEG, GIF eller PNG, men, säger Google, ”det finns många ganska exotiska bilder också.”
Google testade Apples säkerhet genom att fuzza bilder, vilket i huvudsak innebär att data slumpmässigt slumpas ut på ett sådant sätt att enheten inte vet hur den ska hantera den och eventuellt faller omkull i någon mån när den försöker. Googles tillvägagångssätt var inte avsett att vara uttömmande, utan illustrativt, och de har påpekat att en mer sofistikerad version av samma tillvägagångssätt kan ha gett bättre resultat. De följde inte upp image fuzzing med andra exploateringar för att dra nytta av det första misslyckandet.
En hel massa sårbarheter hittades, avslöjades och har patchats – så lyder rapporten. Google föreslår att leverantörer inför ”kontinuerlig fuzz-testning” och rekommenderar också att meddelandeplattformar förkastar alla utom de vanligaste bildformaten, ”åtminstone för förhandsgranskningar av meddelanden som inte kräver interaktion”. Ju mindre utrymme för attacker desto bättre, och som teamet påpekar ”det skulle minska angreppsytan från cirka 25 bildformat till bara en handfull eller mindre”.
Dessa problem skulle påverka alla Apples operativsystem innan de patchar. Användningen av denna typ av angreppsvektor för att göra en enhet sårbar innan den angrips är ofta central för sofistikerade cyberattacker, även på nationalstatsnivå. Hotgrupper prisar exploateringar som de kan vara säkra på kommer att köras på målenheter, vilket är anledningen till att de fokuserar på kärnverksamheter eller hyperskaliga plattformar som WhatsApp.
Under tiden kommer Apple att hoppas att detta sätter punkt för några ganska brinnande dagar av säkerhetsavslöjanden. Företaget har patchat dessa problem och gör detsamma med sårbarheterna för e-post och text. Men som alltid är det en fråga om att skaka om användarnas förtroende. Och för Apple, som marknadsför sig självt på sin plattforms säkerhet, är detta aldrig bra historier att se i mediernas rubriker.