24. aprīlis, 2020

Nesen atklāta ievainojamība ļauj uzlauzt un izspiegot iPhone ar e-pasta vēstules palīdzību

hacking iphone

Minētās ievainojamības var ļaut uzbrucējiem pilnībā pārņemt kontroli pār ierīcēm, vienkārši nosūtot e-pastu jebkuram noteiktam upurim, kas ar savu e-pasta kontu izmanto ievainojamo lietotni. Pēc ZecOps kiberdrošības pētnieku informācijas ievainojamības ir attālinātas koda izpildes kļūdas, kas atrodas Apple e-pasta lietotnes MIME bibliotēkā. Lai arī apstrādājot e-pasta saturu, var tikt iedarbinātas abas ievainojamības, viena no tām ir bīstamāka, jo to var izmantot bez lietotāja līdzdalības.

Pēc pētnieku domām, abi trūkumi ir bijuši dažādos iPhone un modeļos pēdējos 8 gadus kopš iOS 6 izlaišanas un diemžēl tie ietekmē arī pašreizējo iOS 13.4.1. Vēl satraucošāks ir fakts, ka vairākas uzbrucēju grupas izmanto šos trūkumus jau vismaz 2 gadus mērķētos uzbrukumos, piemēram, pret žurnālistiem Eiropā.

Pēc pētnieku domām, lietotājiem varētu būt grūti uzzināt, vai viņi ir tikuši pakļauti uzbrukumam, jo izrādās, ka uzbrucēji izdzēš ļaunprātīgo e-pastu tūlīt pēc tam, kad ir ieguvuši attālinātu piekļuvi upura ierīcei.

Jāatzīmē, ka ievainojamības veiksmīgas izmantošanas gadījumā ļaunprātīgais kods darbojas lietojumprogrammas kontekstā, ļaujot uzbrucējiem “noplūdināt, modificēt un izdzēst e-pastus”. Lai varētu iegūt pilnu kontroli pār ierīci, uzbrucējiem minētās ievainojamības jāizmanto kopā ar citām. no ZecOps uzskata, ka uzbrucēji izmanto ievainojamības kombinācijā ar kodola trūkumiem, lai veiksmīgi izspiegotu savus upurus.

pamanīja uzbrukumus savvaļā un atklāja ar tiem saistītās ievainojamības gandrīz pirms diviem mēnešiem un ziņoja par to drošības komandai. Šobrīd tikai iOS beta 13.4.5 versijā, kas tika izlaista pagājušajā nedēļā, ir drošības ielāpi abām nulles dienas ievainojamībām. Miljoniem iPhone un lietotāju drīzumā būs pieejams publisks programmatūras ielāps. Tikmēr lietotājiem tiek stingri ieteikts nelietot viedtālruņu iebūvēto e-pasta lietotni, bet tās vietā uz laiku pāriet uz Outlook vai Gmail lietotnēm.

Papildus tiek ziņots par Ķīnas hakeru spiegošanas uzbrukumiem uiguru aktīvistu iPhone viedtālruņiem, taču šajos uzbrukumos tiek izmantota ekspluatējumu virkne, kas darbojas vecākās iOS versijās.

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

lvLatviešu valoda