Dzisiejsze systemy operacyjne rozrosły się do takich rozmiarów, że uniknięcie dziur i błędów nie jest w ogóle możliwe. Nikt nie jest w stanie zagwarantować, że jeden z tysięcy programistów nie popełni błędu na którymś etapie swojej pracy. Ważne jest, aby po wykryciu dziury firma potrafiła szybko zareagować, a użytkownicy mieli nawyk aktualizowania oprogramowania. Doskonale ilustruje to przykład groźnego błędu iOS wykrytego przez badaczy Google Project Zero.
Autorem metody jest specjalista ds bezpieczeństwa z Google Project Zero, Ian Beer, a podatność którą wykrył, dawała możliwość zdalnego przejęcia pełnej kontroli na iPhonami. Wszystko przez błędy w autorskiem protokole Apple Wireless Direct Link, służącym do tworzenia sieci typu mesh dla części ekosystemowych usług, takich jak na przykład AirDrop. Co przerażające, dzięki tej metodzie był w stanie dokonywać ataku nawet na kilka telefonów naraz.
Pisząc o przejęciu pełnej kontroli, wcale nie przesadzam, Beer potrafił zdalnie restartować telefony, zdobyć dostęp do wszystkich plików, maili i wiadomości, możliwe było także podglądanie i podsłuchiwanie użytkownika smartfona. „Łamanie” iPhone'a rozpoczynało się od ataku typu brute force, które zmuszało telefon do uruchomienia wspomnianego interfejsu AWDL. Całą procedurę znajdziecie na filmie załączonym poniżej.
Apple nie zaprzeczyło, że takie błąd istniał, co więcej informacje od Beera były podstawą do zmian „serwowanych” w czasie kilku majowych aktualizacji bezpieczeństwa. Tutaj dochodzimy do sprawy kluczowej, ten bardzo poważny błąd chwały Apple nie przynosi, ale jeśli ktoś miałby się tu przestraszyć na serio, to raczej użytkownicy telefonów z Androidem, szczególnie z niskiej i średniej półki.
O Apple można powiedzieć sporo złego, ale w kwestii łatek bezpieczeństwa działa z reguły najlepiej na rynku. Wsparcie iPhonów trwa bardzo długo, a łatki bezpieczeństwa potrafią otrzymać nawet systemu od dawna już niewspierane. Do tego użytkownicy mają wyrobiony nawyk robienia aktualizacji na bieżąco. W przypadku Androida jest gorzej, spora grupa jego użytkowników do aktualizacji w ogóle nie zagląda, a producenci regularnie uaktualniają często tylko flagowe modele. Google pomimo wielu prób zmiany tej sytuacji, do dziś nie poradziło sobie do końca z tą sprawą.
Podatność, o której tu mowa została więc już załatana, a Beer poinformował, że na szczęście nie ma żadnych śladów jej przestępczego użycia. Jeśli jednak ktoś z Was ciągle nie zaktualizował swojego telefonu do iOS 13.5 lub wyżej, to lepiej niech to szybko zrobi.
Google Project Zero to program koncernu z Mountain View, w ramach którego pracownicy Google wydelegowani do tej komórki wykrywają różnego rodzaju błędy bezpieczeństwa typu zero-day i przesyłają je twórcom oprogramowania do usunięcia. Po 90-dniach informacja o błędzie jest automatycznie publikowana, co ma być „zachętą” do szybkiej naprawy błędów. Krótko mówiąc, jest to rodzaj szantażu, ale w słusznej sprawie.
Źródło: [1]
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
