Forskere ved Googles Project Zero, som har til oppgave å jakte feil i programvare, har oppdaget en håndfull iOS-angrep.
ZDNet har rapporten denne uken. Et par medlemmer av Project Zero klarte å identifisere seks sikkerhetsfeil relatert til iOS. Fem av de seks har bevis-of-concept-kode som allerede er publisert, sammen med demoer om hvordan de fungerer. Spesifikt bemerker forskerne at disse utnyttelsene kan håndteres gjennom iMessage-klienten.
Den gode nyheten er imidlertid at alle seks utnyttelser allerede er blitt oppdatert med offentlig lansering av iOS 12.4. Så selv om disse siste sikkerhetsproblemene allerede er blitt oppdatert, noe som reduserer effektiviteten betydelig, er det en påminnelse om at det å holde seg oppdatert med programvaren du bruker hver dag, er svært viktig..
Det er verdt å merke seg at en av feilene i dette tilfellet fremdeles holdes under omslag (i det minste foreløpig), fordi mens iOS 12.4 lappet alle seks, har en av bussen ikke blitt fullstendig løst, i det minste ifølge Natalie Silvanovich, en av forskerne som oppdaget feilene. Samuel Groß er den andre forskeren som oppdaget feilene.
Ifølge forskeren kan fire av de seks sikkerhetsfeil føre til utførelse av ondsinnet kode på en ekstern iOS-enhet, uten brukermedvirkning som trengs. Alt en angriper trenger å gjøre er å sende en misdannet melding til et offers telefon, og den ondsinnede koden kjøres når brukeren åpner og ser på den mottatte varen.
De fire feilene er CVE-2019-8641 (detaljer holdt privat), CVE-2019-8647, CVE-2019-8660 og CVE-2019-8662. De koblede feilrapportene inneholder tekniske detaljer om hver feil, men også proof-of-concept-kode som kan brukes til å lage utnyttelser.
Den femte og sjette feilen, CVE-2019-8624 og CVE-2019-8646, kan tillate en angriper å lekke data fra en enhets minne og lese filer fra en ekstern enhet - også uten brukerinteraksjon.
Buggjakt kan føre til lukrative utbetalinger. Som påpekt i den opprinnelige rapporten, kan denne typen sårbarheter rake inn over $ 1 million dollar for forskeren. Som sådan er det sannsynlig at dette antallet sikkerhetsproblemer kan ha ført opp til $ 5 millioner, men også kunne blitt verdsatt til 24 millioner dollar med tanke på at de jobbet med nyere versjoner av iOS.
I utgangspunktet må du sørge for å oppgradere til iOS 12.4 så snart du kan hvis du ikke allerede har gjort det.