НАЗВАНИЕ
Apple часто может похвастаться высоким уровнем безопасности, предлагаемым iPhone. Конечно, закрытая структура и забота о качестве официального магазина приложений, приносит некоторые преимущества и меньше вредоносных программ, чем на Android. Однако это не означает, что iOS является непреодолимой опорой. Наоборот, мы регулярно слышим об обнаружении новых уязвимостей. Последняя найденная уязвимость может оказаться действительно опасной. Это позволяет несанкционированный доступ к файлам пользователя.
Группе фторацетата удалось взломать iPhone X с последней установленной iOS 12.1. Успешная попытка использовать уязвимость в браузере Safari имела место во время конкурса Pwn2Own, в котором принимают участие специалисты по безопасности.
Ричард Чжу и Амат Кама из группы «Фторацетат» после взлома iPhone получили доступ, среди прочего фотографии сохраняются в устройстве. Стоит отметить, что они также могут извлекать файлы из галереи, которые были ранее удалены (перемещены в корзину). Для iPhone нажатие кнопки «Удалить» переносит фотографии в папку «Недавно удаленные». Только после этого они автоматически удаляются, обычно через 40 дней. Однако, как показывает пример, они все еще доступны и могут быть "приобретены" злоумышленниками в течение этого периода.
Чтобы осуществить атаку, в JIT-компиляторе использовался пробел (точно в срок), который позволяет iPhone в определенных сценариях работать быстрее, обрабатывая код во время программы. Исследователи с iPhone, подключенным к вредоносной точке доступа к сети Wi-Fi. Как мы уже упоминали, уязвимость позволила загрузить фотографию из папки «Недавно удаленные». Однако стоит иметь в виду, что его можно использовать для доступа к другим данным.
Упомянутые исследователи получили приз в размере 50 000 за открытие долларов. Данные о разрыве в соответствии с правилами конкурса Pwn2Own были переданы в Apple. Они не были раскрыты киберпреступникам, которые могли использовать их для взлома iPhone. Вполне возможно, что Apple выпустит соответствующее исправление безопасности в следующем обновлении - iOS 12.1.1.
Во время мероприятия Pwn2Own уязвимость была обнаружена не только в iPhone X. Ранее были обнаружены уязвимости в Samsung Galaxy S9 и Xiaomi Mi 6.
комментариев