Onderzoekers van Project Zero van Google, die is belast met het zoeken naar bugs in software, hebben een handvol iOS-aanvallen ontdekt.
ZDNet heeft het rapport deze week. Een paar leden van Project Zero konden zes beveiligingsfouten met betrekking tot iOS identificeren. Vijf van de zes hebben al een proof-of-concept code gepubliceerd, samen met demo's over hoe ze werken. De onderzoekers merken met name op dat deze exploits kunnen worden afgehandeld via de iMessage-client.
Het goede nieuws is echter dat alle zes exploits al zijn gepatcht met de openbare lancering van iOS 12.4. Dus hoewel deze nieuwste beveiligingsproblemen al zijn gepatcht, waardoor hun effectiviteit aanzienlijk is verminderd, is het een herinnering dat het van vitaal belang is om up-to-date te blijven met de software die u dagelijks gebruikt..
Het is vermeldenswaard dat een van de bugs in dit geval nog steeds geheim wordt gehouden (althans voorlopig), omdat hoewel iOS 12.4 alle zes heeft gepatcht, een van de bus niet volledig is opgelost, althans volgens Natalie Silvanovich, een van de onderzoekers die de bugs heeft ontdekt. Samuel Groß is de andere onderzoeker die de bugs heeft ontdekt.
Volgens de onderzoeker kunnen vier van de zes beveiligingsbugs leiden tot de uitvoering van kwaadaardige code op een extern iOS-apparaat, zonder dat gebruikersinteractie nodig is. Het enige dat een aanvaller hoeft te doen, is een misvormd bericht naar de telefoon van het slachtoffer te verzenden. De schadelijke code wordt uitgevoerd zodra de gebruiker het ontvangen item opent en bekijkt.
De vier bugs zijn CVE-2019-8641 (details privé gehouden), CVE-2019-8647, CVE-2019-8660 en CVE-2019-8662. De gekoppelde bugrapporten bevatten technische details over elke bug, maar ook proof-of-concept-code die kan worden gebruikt om exploits te maken.
Met de vijfde en zesde bugs, CVE-2019-8624 en CVE-2019-8646, kan een aanvaller gegevens uit het geheugen van een apparaat lekken en bestanden van een extern apparaat lezen - ook zonder gebruikersinteractie.
Insectenjacht kan leiden tot lucratieve uitbetalingen. Zoals aangegeven in het oorspronkelijke rapport, kunnen dit soort kwetsbaarheden veel meer dan $ 1 miljoen opleveren voor de onderzoeker. Als zodanig is het waarschijnlijk dat deze pool van beveiligingsproblemen tot $ 5 miljoen zou hebben kunnen opleveren, maar ook tot $ 24 miljoen had kunnen worden gewaardeerd, gezien het feit dat ze aan recente versies van iOS werkten.
Kortom, zorg ervoor dat je zo snel mogelijk een upgrade naar iOS 12.4 uitvoert als je dit nog niet hebt gedaan.