ВойтиНовый пользовательЗабыли пароль?
Через соцсети

Хакеры нашли новый способ взлома iPhone

528 просмотров
/
Дмитрий Турбин
Популярное

Apple выпустила срочное обновление iOS

Одна единственная песня может хакнуть iPhone, если не обновить iOS до версии 10.3.1.

В следующий раз, когда кто-нибудь отправит медиа-файл на «необновлённый» iPhone, возможно, стоит подумать, заслуживает ли отправитель доверия.

Как сообщается, Apple устранила уязвимость в операционной системе своих мобильных гаджетов, выпустив срочное обновление iOS 10.3.1.

Уязвимость прежней версии ОС заключается в том, что она позволяет вредоносному коду активироваться, как только на телефоне запускается звуковой файл, в который «зашит» эксплойт.

Недостаток в системе выявил анонимный хакер, работающий в рамках инициативы Zero Day Initiative (ZDI). 

Суть проблемы - изъян, который называется «нарушение безопасности памяти». Это связано с процессом обработки метаданных во время воспроизведения музыки.

Повреждение памяти происходит в компьютерной программе, когда содержимое ячейки памяти непреднамеренно изменяется из-за ошибок программирования.

После выявления ошибки, пробел в безопасности устранили, так что теперь злоумышленники не смогут спрятать эксплоит в MP3 и MP4-файлах.

По понятным причинам, до недавнего времени программистам ZDI было запрещено говорить о выявленных уязвимостях.

Как им это удалось? Добрый анонимный хакер использовал файл формата MP4s, чтобы обойти защиту iPhone.

Хакеры пользуются тем, что в прежней версии iOS отсутствует надлежащая проверка пользовательских данных.

Другие уязвимости, выявленные в iOS

Аудиоуязвисомть - не единственный баг мобильной операционой системы, выявленный в последнее время.

Как раз на днях технический гигант из Купертино выпустил iOS 10.3.1 с исправлением недостатка Wi-Fi модулей Broadcom.

Wi-Fi уязвимость iOS: находясь рядом с устройством, злоумышленник может с помощью специальной программы взломать Wi-Fi модуль устройства и запустить произвольный код. Злоумышленнику достаточно, чтобы аппарат был подключён к Wi-Fi-сети.

Вероятно, хакер может не просто внедрить эксплойт в гаджет, но и получить полный доступ к смартфону или планшету.

Google, чей сотрудник обнаружил ошибку, не предоставила другой информации о том, что влечёт за собой такая атака.

Впрочем, свет на это проливает исследование, проведённое Марко Грасси (Marco Grassi), экспертом в сфере IT-безопасности.

Грасси использовал баг в приложении WebSheet. Это внутренняя и недоступная пользователю служебная утилита iOS.

Она активируется, когда юзер подключается к сети Wi-Fi и та запрашивает авторизацию через веб-браузер.

До исправления бага, приложение WebSheet некорректно обрабатывало регистрационные операции такого рода, вследствие чего у злоумышленников появлялась возможность атаковать уязвимое устройство - выдать свою собственную авторизацию за публичную Wi-Fi сеть.

Как только жертва станет подключаться к сети злоумышленника, WebSheet откроется для аутентификации.

Злоумышленнику нужно лишь поместить вредоносный код на страницу логина и использовать обычный JavaScript, чтобы похитить cookie из браузера жертвы.

Браузерные cookie - крайне опасная вещь в чужих руках. Например, хакер может выдать себя за свою жертву на различных сайтах.

Если же в руки злоумышленника попадут cookie от мобильной версии сайта банка или платежной системы, жертва вообще рискует лишиться денег.

JPEG-уязвимость iOS: на прошлой неделе Apple исправила не только аудио - и беспроводную уязвимость: ей также пришлось устранить ещё 82 критических бага в iOS.

Пожалуй, самым тревожным недостатком был тот, который позволял вредоносному коду запустится, как только пользователь открывал для просмотра JPEG-изображение.

Опять же, проблема обнаружилась силами анонимного исследователя в рамках инициативы Zero Day.

Были ещё три «слабости системы», из-за которых злоумышленник мог запустить свой эксплойт во время обработки фотографии в среде ImageIO.

Вывод: Как бы там ни было, описанные выше недостатки «яблочной операционки» устранены в iOS 10.3.1.

В качестве дополнительного бонуса для тех, кто обновит ОС до уровня iOS 10.3, служит новая система шифрования (APFS). Она призвана помешать хакерам перехватывать данные с iPhone и iPad.

Комментарии
Незарегистрированные пользователи могут оставить комментарий через виджет Вконтакта, Фейсбука или использовать нашу платформу. Ваш выбор мы запомним (в хорошем смысле)
Вконтактик
Фейсбучек
Для членов клуба
ВЫ НЕ МОЖЕТЕ ОСТАВИТЬ КОММЕНТАРИЙ необходимо зарегистрироваться или войти
Яндекс.Метрика