Уразливість iOS дозволяє хакерам айфонів доступу з допомогою шеззаде
Опубликованно 08.02.2018 22:28
Уразливість в способі програмного забезпечення Apple обробляє зображення, дозволяє хакерам взяти на iPhone і iPad, Apple, Mac або Apple TV з простим imessage або по електронній пошті.
Уразливість в Apple зображення-обробка зображення API введення-виведення означає, що шкідливий тегами Формат файлу зображення (TIFF-файл), може примусити так званого переповнення буфера, яка дозволяє хакерові прориватися Apple з безпеки і виконати власний код на пристрої.
Тайлер Бохан безпеки фірма Cisco Талос сказав: "ця Вразливість особливо це стосується, як це може бути викликана будь-якому додатку, що використовує зображення Яблука API введення-виведення при побудові мозаїчних зображень у форматі TIFF".
Більшість додатків на iPhone, наприклад, використання зображення API вводу-виводу для відображення фотографії, у тому числі повідомлень, MMS-повідомлень, браузер Safari, mail та інші, залишаючи їх вразливі для цієї атаки.
"В залежності від обраного способу доставки зловмисником, ця Вразливість потенційно застосовні методи, які не вимагають явного втручання користувача, оскільки багато додатків (шеззаде тобто автоматично відображатися зображення, коли вони отримали в їх конфігурації за замовчуванням", - сказав Бохан.
Повинно бути переглянуті зображення автоматично або вручну, потім зловмисник може отримати повний контроль над пристроєм, вкрасти паролі та іншу інформацію, всі потенційно без відома користувача.
Apple випустила прошивку iOS 9.3.3, ОС х 10.11.6, tvOS 9.2.2 і watchos 2.2.2 оновлень програмного забезпечення для усунення помилок і кілька інших в понеділок, але ті, у кого не оновлюється через налаштування програми на свої пристрої iOS, в iTunes або Mac App магазин раніше уразливі для атаки.
Оновлення iOS 9.3.3 не доступний для iPhone 4 і більш старі моделі, які як і раніше в небезпеці. Існують пристрої 1 млрд iOS-пристроїв по всьому світу, кожен з яких буде порушена ця діра в безпеці, якщо не оновлюються.
Android від Google зіткнулися два аналогічних отвори безпеки, відомої під назвою stagefright і stagefright 2, яка зачіпає майже мільярд пристроїв, але оновлення потрібно щоб виправити отвір, повільно їх звільнення від різних виробників смартфонів і мобільних телефонних мережах. HummingBad заражають Android пристроїв 10м
Категория: Технологии