Ang Apple iOS, ang operating system na tumatakbo sa mga iPhone, ay mahina laban sa maraming mga bagong kahinaan sa seguridad. Ito ay tungkol sa tandaan na ang mga bahid ay hindi nangangailangan ng pakikipag-ugnay ng gumagamit. Ang mga kahinaan sa seguridad ay maaaring ganap na maipatupad nang hindi kinakailangan ng gumagamit na magsagawa ng anumang pagkilos, mag-click sa anumang link, mag-download ng anumang app, atbp. Hindi sinasadya, hindi ito ang unang pagkakataong natuklasan ang mga malubhang kapintasan sa loob ng iOS .
Dalawang bagong seryosong mga kahinaan sa seguridad sa loob ng operating system ng Apple iOS ang isiniwalat ngayon. Maliwanag, ang mga bahid na ito sa iOS na potensyal na pinapayagan ang mga magsasalakay na makakuha ng pag-access sa isang iOS na tumatakbo na aparato sa iPhone nang walang anumang aksyon ng gumagamit. Higit na mahalaga, ang malayuang naisagawa na pag-atake ay maaari ring payagan ang Remote Code Exervation (RCE), na maaaring may kasamang kontrol sa administratibong iPhone ng biktima. Bagaman hindi pa opisyal na mapagtibay, ang mga bagong tuklas na kahinaan sa seguridad ay pinagsamantalahan sa ligaw. Tila, may kamalayan ang Apple sa mga bahid sa seguridad at inaasahang maglalabas ng isang pag-update upang mai-patch ang pareho.
Ang Apple iOS 6 sa Itaas na Device ng iPhone ay Masisira Sa Bagong Natuklasan At Aktibong Sinamantalang Mga Kahinaan sa Seguridad:
Ang bagong natuklasan na mga kahinaan sa seguridad sa operating system ng Apple iOS ay nagbibigay-daan sa isang umaatake na malayo na welga ang aparato ng biktima. Bukod dito, pinapayagan ng mga kamalian ang mga umaatake na makakuha ng pag-access sa isang iOS aparato nang walang anumang aksyon ng gumagamit. Ang karamihan ng mga pag-atake ay nangangailangan ng ilang pagkilos ng gumagamit tulad ng pag-click sa isang link, pag-install ng ilang application, o pagbubukas ng isang dokumento upang magsimula ang pag-atake. Gayunpaman, sa kasong ito, maaari lamang magpadala ang nag-atake ng mga email na kumonsumo ng isang makabuluhang halaga ng memorya at makakuha ng mga kakayahan sa pagpapatupad ng remote code sa aparato.
Mga kahinaan at pag-atake ng Day-Zero;
Mga insidente sa seguridad https://t.co/KAez4d9890
- Dr. Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) Abril 22, 2020
Ang seryoso mga kahinaan sa seguridad sa loob ng iOS na may zero na pakikipag-ugnayan ng gumagamit ay natuklasan ng security firm na ZecOps. Ang mga mananaliksik sa kumpanyang inaangkin ng kumpanya ay gumagamit na ng mga kahinaan na ito sa ligaw. Nang hindi kinikilala ang mga target, inangkin ng mga mananaliksik na ang bagong natuklasan na mga bahid sa seguridad ay matagumpay na ginamit upang ma-target ang mga sumusunod na indibidwal:
- Mga Indibidwal mula sa isang samahang Fortune 500 sa Hilagang Amerika
- Isang executive mula sa isang carrier sa Japan
- Isang VIP mula sa Alemanya
- Mga MSSP mula sa Saudi Arabia at Israel
- Isang mamamahayag sa Europa
- Pinaghihinalaang: Isang ehekutibo mula sa isang Swiss enterprise
Ang iOS ay isang ganap na closed-source operating system na dinisenyo at binuo ng Apple. Mahigpit itong kinokontrol at kinokontrol. Ang OS ay hindi kasing bukas ng Google Android. Ang pinakabagong pag-ulit ng iOS ay iOS 13. Gayunpaman, ang lahat ng mga aparato na nagpapatakbo ng iOS 6 at mas mataas ay apektado ng mga bahid ng seguridad. Ang mga mananaliksik sa seguridad na sinisiyasat ang mga kahinaan ay naka-highlight ng mga paraan na maaaring ikompromiso ng mga umaatake ang isang Apple iOS na tumatakbo sa iPhone. Sa mga kamakailang bersyon ng iOS, ang pag-atake ay maaaring isagawa ng mga sumusunod na paraan:
- Pag-atake sa iOS 13: Mga pag-atake na hindi tinulungan (/ zero-click) sa iOS 13 kapag ang application ng Mail ay binuksan sa background
- Pag-atake sa iOS 12: Ang pag-atake ay nangangailangan ng isang pag-click sa email. Ang pag-atake ay mai-trigger bago i-render ang nilalaman. Hindi mapapansin ng gumagamit ang anumang anomalya sa mismong email
- Ang mga hindi pag-atake na hindi tinutulungan sa iOS 12 ay maaaring ma-trigger (aka zero-click) kung kinokontrol ng umaatake ang mail server
Natuklasan ng mga mananaliksik ang isang pares ng mga kahinaan sa seguridad sa iOS Mail app, gumagana ang Apple sa isang patch https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- Doctor i Doctor ng Telepono (@Mr_iPhoneDoctor) Abril 22, 2020
Apple Upang Patch Security Vulneribility Sa Paparating na Update:
Sinasabi ng mga mananaliksik na may kamalayan ang Apple sa mga bahid ng seguridad sa iOS. Idinagdag nila na inaasahang maglalabas ang Apple ng isang incremental na pag-update sa iOS na magsasama ng isang pag-aayos na makaka-patch sa mga kahinaan. Gayunpaman, hanggang sa maglabas ang Apple ng isang pag-update, mayroong isang paraan upang maiwasan ang pag-target o maging biktima ng mga security bug.
Dalawang mga zero-day na kahinaan na nakakaapekto sa mga aparatong iPhone at iPad ay natagpuan ng startup ng cybersecurity na ZecOps matapos ang pagtuklas ng isang serye ng mga nagpapatuloy na malalayong pag-atake na na-target sa iO ... sa pamamagitan ng @B SleepinComputer #security #tech #WednesdayWisdom https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) Abril 22, 2020
Pinapayuhan ng mga mananaliksik na ganap na iwasan ang Apple Mail App. Ito ang platform sa pag-email na dinisenyo, binuo, at pinapanatili ng Apple. Hindi sinasadya, sinusuportahan ng mail app ang mga email account ng third-party tulad ng Gmail, Outlook, atbp Samakatuwid, hanggang sa maglabas ang Apple ng isang pag-update upang ayusin ang mga bug, ang mga gumagamit ay maaaring depende sa Microsoft Outlook app o iba pang katulad na mga kliyente sa email.
[Update] Naglabas umano ang Apple ng isang pag-update upang mai-patch ang dalawang kahinaan sa seguridad sa loob ng Apple Mail App.
Mga tag mansanasAng Apple ay nag-patch ng Dalawang Security Vulneribility na nakakaapekto sa Mail App sa iOS 13.4.5 Beta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) Abril 22, 2020
