Ερευνητές ασφαλείας της Google ανακαλύψαν 6 ευπάθειες με την ονομασία “zero interaction” στο iOS – ουσιαστικά πρόκειται για bugs που επιτρέπουν σε έναν επιτιθέμενο να πάρει τον έλεγχο της συσκευής χωρίς ο χρήστης να κάνει κάτι πέρα από το να λάβει και να ανοίξει ένα μήνυμα.
5 από αυτές τις ευπάθειες έχουν διορθωθεί στην iOS 12.4 έκδοση αλλά η Apple δεν έχει κάνει patch τελείως την 6η.
Το ZDNet αναφέρει πως η Google κοινοποίησε κώδικα ως απόδειξη αυτών των bugs που έχει διορθώσει η Apple.
Παρά το γεγονός ότι η Apple προσπάθησε να αφαιρέσει και τις 6 αυτές ευπάθειες στην 12.4 έκδοση η Google αναφέρει πως δεν τα κατάφερε με μια από αυτές.
“Αναλυτικές πληροφορίες για αυτές τις ευπάθειες έχουν κρατηθεί μυστικές γιατί η iOS 12.4 δεν διορθώνει τελείως το ένα από αυτά τα bug σύμφωνα με τα όσα δήλωσε η Natalie Silvanovich, μια από τους δύο Google Project Zero ερευνητές που ανακάλυψαν και ανέφεραν αυτά τα bugs.”
Οι πληροφορίες για τα υπόλοιπα 5 bugs θα παρουσιαστούν και στο Black Hat συνέδριο ασφαλείας στο Las Vegas την επόμενη εβδομάδα. Η Google ανέφερε πρώτα την εύρεση αυτών των bugs στην Apple προκειμένου η εταιρεία να έχει χρόνο να τα διορθώσει πριν η ομάδα της κάνει οποιαδήποτε δημοσιοποίηση.
Η “zero-interaction” ευπάθειες είναι ιδιαίτερα επικίνδυνες. Οι περισσότερες επιθέσεις που γίνονται στο iOS και στο macOS έχουν να κάνουν με τον ίδιο τον χρήστη που ξεγελιέται και τρέχει μια εφαρμογή ή που πέφτει θύμα ηλεκτρονικού ψαρέματος και αποκαλύπτει τα Apple ID στοιχεία του.
Η “zero-interaction” ευπάθειες όμως είναι ακόμη πιο ύπουλες μιας και αρκεί το άνοιγμα ενός μηνύματος από τον χρήστη για να γίνει η επίθεση. Το μήνυμα αυτό μπορεί μάλιστα να είναι ένα SMS, MMS, iMessage, Mail ή ακόμη και Visual Voicemail.
Οι ανακαλύψεις τέτοιων ευπαθειών ενός λογισμικού, και πόσο μάλλον της Apple, έχουν τεράστια αξία στην μαύρη αγορά με υποψηφίους αγοραστές να είναι εταιρείες ή ακόμη και κυβερνήσεις κρατών.
