Apple iOS, iPhone-käyttöjärjestelmä, on alttiina useille uusille tietoturva-aukkoille. On syytä huomata, että puutteet eivät tarvitse käyttäjän vuorovaikutusta. Tietoturvahaavoittuvuudet voidaan suorittaa kokonaan ilman käyttäjän tarvetta koskaan suorittaa mitään toimintoja, napsauttaa mitä tahansa linkkiä, ladata sovellusta jne. Muuten, tämä ei ole ensimmäinen kerta, kun iOS: n sisällä havaitaan niin vakavia puutteita .
Kaksi uutta vakavaa turvallisuushaavoittuvuutta Apple iOS -käyttöjärjestelmässä paljastettiin tänään. Ilmeisesti nämä iOS: n puutteet antavat hyökkääjille mahdollisuuden päästä käsiksi iOS-käyttöjärjestelmään toimivaan iPhone-laitteeseen ilman käyttäjän toimia. Vielä tärkeämpää on, että etänä suoritettu hyökkäys voi myös sallia koodin suorittamisen verkon välityksellä (RCE), joka voi sisältää uhrin iPhonen hallinnollisen valvonnan. Vaikka vasta löydettyjä tietoturva-aukkoja ei vielä ole virallisesti vahvistettu, niitä hyödynnetään luonnossa. Ilmeisesti Apple on tietoinen tietoturva-aukoista ja sen odotetaan julkaisevan päivityksen saman korjauksen tekemiseen.
Apple iOS 6: n yläpuolella oleva iPhone-laite on haavoittuva vasta löydetyille ja aktiivisesti hyödynnetyille tietoturva-aukkoille:
Äskettäin löydetyt Apple iOS -käyttöjärjestelmän tietoturva-aukot antavat hyökkääjälle mahdollisuuden iskeä uhrin laitetta etänä. Lisäksi virheiden avulla hyökkääjät pääsevät käyttämään iOS-laitetta ilman käyttäjän toimia. Suurin osa hyökkäyksistä vaatii käyttäjän toimia, kuten linkin napsauttaminen, jonkin sovelluksen asentaminen tai asiakirjan avaaminen hyökkäyksen aloittamiseksi. Tässä tapauksessa hyökkääjä voi kuitenkin vain lähettää sähköposteja, jotka kuluttavat huomattavasti muistia, ja saada laitteeseen koodin etäsuorituskyvyn.
Day-Zero-haavoittuvuudet ja hyökkäykset;
Turvallisuustapahtumat https://t.co/KAez4d9890
- DR. Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) 22. huhtikuuta 2020
Vakava turvallisuushaavoittuvuudet iOS: n sisällä ilman käyttäjän vuorovaikutusta havaitsi turvallisuusyritys ZecOps. Yhtiön tutkijat väittävät, että hyökkääjät käyttävät jo näitä haavoittuvuuksia luonnossa. Tutkijat väittivät, että vastikään havaittuja tietoturva-aukkoja on käytetty onnistuneesti seuraavien henkilöiden kohdentamiseen tunnistamatta kohteita:
- Yksilöt Fortune 500 -järjestöstä Pohjois-Amerikassa
- Japanin liikenteenharjoittajan johtaja
- VIP Saksasta
- MSSP: t Saudi-Arabiasta ja Israelista
- Toimittaja Euroopassa
- Epäilty: Sveitsiläisen yrityksen johtaja
iOS on täysin suljetun lähdekoodin käyttöjärjestelmä, jonka on suunnitellut ja kehittänyt Apple. Se on tiukasti valvottu ja säännelty. Käyttöjärjestelmä ei ole yhtä avoin kuin Google Android. IOS: n uusin iterointi on iOS 13. Nämä suojausvirheet vaikuttavat kuitenkin kaikkiin laitteisiin, joissa on iOS 6 tai uudempi. Haavoittuvuuksia tutkivat tietoturvatutkijat ovat korostaneet tapoja, joilla hyökkääjät voivat vaarantaa iPhonea käyttävän Apple iOS: n. Viimeisimmissä iOS-versioissa hyökkäys voidaan suorittaa seuraavilla tavoilla:
- Hyökkäys iOS 13: een: Avustamattomat hyökkäykset (/ nolla napsautusta) iOS 13: een, kun Mail-sovellus avataan taustalla
- Hyökkäys iOS 12: een: Hyökkäys vaatii sähköpostin napsautuksen. Hyökkäys laukaistaan ennen sisällön renderointia. Käyttäjä ei huomaa mitään epänormaalia itse sähköpostissa
- Avustamattomat hyökkäykset iOS 12: een voidaan laukaista (alias nolla-napsautus), jos hyökkääjä hallitsee postipalvelinta
Tutkijat löytävät parin tietoturva-aukkoja iOS Mail -sovelluksesta, Apple työskentelee korjaustiedoston parissa https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- i puhelinlääkäri (@Mr_iPhoneDoctor) 22. huhtikuuta 2020
Apple korjaa tulevan päivityksen tietoturva-aukkoja:
Tutkijoiden mukaan Apple on tietoinen näistä iOS: n tietoturva-aukoista. He lisäsivät, että Applen odotetaan julkaisevan iOS: n päivityksen, joka sisältää korjauksen, joka korjaa haavoittuvuudet. Siihen asti kun Apple ei julkaise päivitystä, on kuitenkin tapa välttää kohdistus tai joutuminen tietoturvaongelmien uhriksi.
Kyberturvallisuuden käynnistys ZecOps löysi kaksi nollapäivän iPhone- ja iPad-laitteisiin vaikuttavaa haavoittuvuutta löydettyään useita jatkuvia etähyökkäyksiä, jotka ovat kohdentaneet iO: ta… @BleepinComputer #turvallisuus #tekniikka #WednesdayWisdom https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22. huhtikuuta 2020
Tutkijat neuvovat välttämään Apple Mail -sovellusta kokonaan. Se on sähköpostialusta, jonka Apple on suunnitellut, kehittänyt ja ylläpitänyt. Muuten postisovellus tukee kolmansien osapuolten sähköpostitilejä, kuten Gmail, Outlook jne. Siksi, kunnes Apple julkaisee päivityksen virheiden korjaamiseksi, käyttäjät voivat olla riippuvaisia Microsoft Outlook -sovelluksesta tai muista vastaavista sähköpostiohjelmista.
[Päivittää] Apple on tiettävästi julkaissut päivityksen Apple Mail App -sovelluksen kahden tietoturva-aukon korjaamiseksi.
Tunnisteet omenaApple korjaa kaksi suojaushaavoittuvuutta, jotka vaikuttavat Mail App -sovellukseen iOS 13.4.5 Beta -sovelluksessa https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 22. huhtikuuta 2020