TeamQuest Blog

Google Project Zero odnalazło 6 luk w iOS-ie. Są warte miliony dolarów

Google Project Zero odnalazło 6 luk w iOS-ie. Są warte miliony dolarów

Maciej Olanicki , 30.07.2019 r.

Szczegółowe informacje na temat pięciu z sześciu odnalezionych w iOS-ie podatności opublikowali eksperci z Google Project Zero. Pozwalają one między innymi na zdalne wykonanie dowolnego kodu bez jakiejkolwiek interakcji ze strony użytkownika – wystarczy odpowiednio spreparowana wiadomość wysłana za pośrednictwem iMessages. Według wstępnych szacunków exploity podatności warte mogą być na czarnym rynku od 5 do nawet 10 mln dolarów.

Dobre wieści są takie, że pięć z sześciu podatności zostało już załatanych wraz z ostatnią aktualizacją iOS-a – wersją 12.4. Według Google Project Zero jedna z podatności wciąż może zostać wykorzystana do ataku. Nietrudno się domyślić, że to właśnie informacje na jej temat na razie nie zostały upublicznione – zgodnie z przyjętymi zasadami Apple ma na jej załatanie 90 dni od dnia zgłoszenia.

Szczegółowe informacje na temat podatności można znaleźć w bugtrackerze Projektu Zero. Ich sygnatury to: CVE-2019-8647, CVE-2019-8660, CVE-2019-8662, a także CVE-2019-8624 oraz CVE-2019-864. Aż cztery z nich mogą prowadzić do zdalnego wykonania kodu po dostarczeniu odpowiednio spreparowanej wiadomości. Pozostałe dwa prowadzić mogą do uzyskania nieautoryzowanego dostępu do przechowywanych na pamięci urządzenia plików. Użytkownikom iPhone’ów zalecamy zatem jak najszybszą aktualizację do najnowszej wersji iOS-a.

Eksperci z Google Project Zero nierzadko krytykowani są za swoją bezkompromisowość – zdarzało im się publikować szczegółowe informacje o podatnościach między innymi Windowsa, choć Microsoft nie uporał się jeszcze z ich załataniem. Nierzadko jest to odbierane jako międzykorporacyjne utarczki. Niesłusznie.

Żadna próba wywarcie presji na największych graczach IT nie byłaby skuteczna, gdyby ci wiedzieli, że mogą liczyć na choć odrobinę pobłażliwości. Tylko w ten sposób tak wartościowe przedsięwzięcia jak Google Project Zero mogą spełniać swoją funkcję. Nic tak skutecznie nie wysyła sygnału „licz się z nami”, jak ujawnienie podatności narażającej na szwank miliony użytkowników.

Tym większe zaskoczenie może budzić, że Apple wciąż nie uruchomiło programu bug bounty dla macOS-a. W ten sposób korporacja naraża siebie i swoich klientów na zagrożenia pokroju KeySteal. Autor exploita odmówił przekazania informacji, gdyż Apple mu za to nie zapłaci. W przypadku sześciu ujawnionych właśnie podatności iOS-ie Apple może mówić o szczęściu, że znaleźli je ludzie z Google Project Zero.

Zobacz też: Google Project Zero upublicznia poważną niezałataną lukę w macOS-ie

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej