Google Project Zero odnalazło 6 luk w iOS-ie. Są warte miliony dolarów

Maciej Olanicki, 30.07.2019 r.

Szczegółowe informacje na temat pięciu z sześciu odnalezionych w iOS-ie podatności opublikowali eksperci z Google Project Zero. Pozwalają one między innymi na zdalne wykonanie dowolnego kodu bez jakiejkolwiek interakcji ze strony użytkownika – wystarczy odpowiednio spreparowana wiadomość wysłana za pośrednictwem iMessages. Według wstępnych szacunków exploity podatności warte mogą być na czarnym rynku od 5 do nawet 10 mln dolarów.

Dobre wieści są takie, że pięć z sześciu podatności zostało już załatanych wraz z ostatnią aktualizacją iOS-a – wersją 12.4. Według Google Project Zero jedna z podatności wciąż może zostać wykorzystana do ataku. Nietrudno się domyślić, że to właśnie informacje na jej temat na razie nie zostały upublicznione – zgodnie z przyjętymi zasadami Apple ma na jej załatanie 90 dni od dnia zgłoszenia.

Szczegółowe informacje na temat podatności można znaleźć w bugtrackerze Projektu Zero. Ich sygnatury to: CVE-2019-8647, CVE-2019-8660, CVE-2019-8662, a także CVE-2019-8624 oraz CVE-2019-864. Aż cztery z nich mogą prowadzić do zdalnego wykonania kodu po dostarczeniu odpowiednio spreparowanej wiadomości. Pozostałe dwa prowadzić mogą do uzyskania nieautoryzowanego dostępu do przechowywanych na pamięci urządzenia plików. Użytkownikom iPhone’ów zalecamy zatem jak najszybszą aktualizację do najnowszej wersji iOS-a.

Eksperci z Google Project Zero nierzadko krytykowani są za swoją bezkompromisowość – zdarzało im się publikować szczegółowe informacje o podatnościach między innymi Windowsa, choć Microsoft nie uporał się jeszcze z ich załataniem. Nierzadko jest to odbierane jako międzykorporacyjne utarczki. Niesłusznie.

Żadna próba wywarcie presji na największych graczach IT nie byłaby skuteczna, gdyby ci wiedzieli, że mogą liczyć na choć odrobinę pobłażliwości. Tylko w ten sposób tak wartościowe przedsięwzięcia jak Google Project Zero mogą spełniać swoją funkcję. Nic tak skutecznie nie wysyła sygnału „licz się z nami”, jak ujawnienie podatności narażającej na szwank miliony użytkowników.

Tym większe zaskoczenie może budzić, że Apple wciąż nie uruchomiło programu bug bounty dla macOS-a. W ten sposób korporacja naraża siebie i swoich klientów na zagrożenia pokroju KeySteal. Autor exploita odmówił przekazania informacji, gdyż Apple mu za to nie zapłaci. W przypadku sześciu ujawnionych właśnie podatności iOS-ie Apple może mówić o szczęściu, że znaleźli je ludzie z Google Project Zero.

Zobacz też: Google Project Zero upublicznia poważną niezałataną lukę w macOS-ie