Как правило, если вы не нажимаете на подозрительные ссылки, которые могут появиться на вашем телефоне – независимо от того, отправляются ли они в виде текстовых сообщений или отображаются в виде всплывающих окон в браузере – вероятность заражения вашего устройства вредоносным ПО невелика никому.
Несмотря на это, исследователи безопасности из команды Google Project Zero недавно обнародовали изощренную эксплойт, который позволил бы злоумышленнику получить контроль над целевым устройством без какого-либо взаимодействия с владельцем устройства. Как сообщила исследователь Google Натали Сильванович во время презентации на конференции по безопасности Black Hat на этой неделе, существует несколько уязвимостей iOS 12, которые с тех пор были исправлены Apple с iOS 12.4 – это позволяет стороннему пользователю получить полный контроль над устройством, просто отправив текстовое сообщение.
«Они могут быть превращены в ошибки, которые будут выполнять код и, в конечном итоге, использоваться для таких вещей, как доступ к вашим данным», – сказал Сильванович в замечаниях, поднятых Проводная, «Таким образом, в худшем случае эти ошибки используются для нанесения вреда пользователям.
Интересно, что Сильванович отметила, что она не нашла подобных подвигов, связанных с обычными SMS, MMS и визуальной голосовой почтой. Однако iMessage привел к удивительному количеству эксплойтов, и этот факт, возможно, можно объяснить тем, насколько многофункционально приложение.
Проводная заметки:
Это может быть связано с тем, что iMessage является настолько сложной платформой, которая предлагает множество опций и функций связи. Он включает в себя Animojis, рендеринг файлов, таких как фотографии и видео, и интеграцию с другими приложениями – все от Apple Pay и iTunes для Fandango и Airbnb. Все эти расширения и взаимосвязи увеличивают вероятность ошибок и недостатков.
На открытом рынке ошибка в iOS без взаимодействия, подобная обнаруженной Сильвановичем и ее партнером по Project Zero Сэмюэлем Гроссом, может быть легко продана за миллионы долларов. Другими словами, случайно, что эксплойты iOS 12 были обнаружены командой Google Project Zero, а не кем-либо еще.
К этому моменту вы можете вспомнить, что в прошлом году стартап из Дубая начал предлагать хакерам свыше 3 миллионов долларов за эксплойты iOS нулевого дня. Ранее вы, возможно, помните, что фирма под названием Zerodium выплатила 1 миллион долларов группе хакеров, которые придумали способ удаленного джейлбрейка iPhone.
Презентационную колоду Сильвановича можно посмотреть здесь полностью.
Источник изображения: Фото JIM LO SCALZO / EPA-EFE / Shutterstock
