ווטסאפ
אפל iOS, מערכת ההפעלה הפועלת במכשירי אייפון, חשופה לפגיעות אבטחה חדשות מרובות. חשוב לציין כי הפגמים אינם זקוקים לאינטראקציה של המשתמש. על פי הדיווחים ניתן לבצע את פרצות האבטחה לחלוטין מבלי שהמשתמש יזדקק לבצע פעולה כלשהי, ללחוץ על קישור כלשהו, להוריד אפליקציה וכו '. אגב, זו לא הפעם הראשונה שמתגלים פגמים כה חמורים בתוך iOS .
שתי פגיעות אבטחה חמורות חדשות במערכת ההפעלה Apple iOS נחשפו היום. ככל הנראה, פגמים אלה ב- iOS עשויים לאפשר לתוקפים לקבל גישה למכשיר iPhone הפועל ב- iOS ללא כל פעולת משתמש. חשוב מכך, ההתקפה שבוצעה מרחוק יכולה לאפשר גם ביצוע קוד מרחוק (RCE), שעשוי לכלול שליטה מנהלית באייפון של הקורבן. למרות שעדיין לא אושר רשמית, חולשות האבטחה שזה עתה התגלו מנוצלות בטבע. ככל הנראה, אפל מודעת לפגמי האבטחה וצפויה לשחרר עדכון לתיקון זהה.
אפל iOS 6 מעל מכשיר האייפון פגיע לפגיעות אבטחה שהתגלו לאחרונה ומנוצל באופן פעיל:
פרצות האבטחה שזה עתה התגלו במערכת ההפעלה של אפל iOS מאפשרות לתוקף להכות מרחוק את מכשיר הקורבן. יתר על כן, הפגמים מאפשרים לתוקפים לקבל גישה למכשיר iOS ללא כל פעולת משתמש. רוב ההתקפות דורשות פעולת משתמש כלשהי כמו לחיצה על קישור, התקנת יישום כלשהו או פתיחת מסמך לתחילת ההתקפה. עם זאת, במקרה זה, התוקף יכול פשוט לשלוח מיילים הצורכים כמות משמעותית של זיכרון ולקבל יכולות ביצוע קוד מרחוק במכשיר.
פרצות ותקיפות של יום אפס;
אירועים ביטחוניים https://t.co/KAez4d9890
- ד'ר. עזר אוסי יבואה-בואטנג (@DrYeboahBoateng) 22 באפריל 2020
הרציני נקודות תורפה באבטחה ב- iOS ללא אינטראקציה של משתמשים התגלו על ידי חברת האבטחה ZecOps. החוקרים בחברה טוענים שתוקפים כבר משתמשים בפגיעות הללו בטבע. מבלי לזהות את היעדים, החוקרים טענו כי פגמי האבטחה שזה עתה התגלו שימשו בהצלחה למטרה לאנשים הבאים:
- אנשים מארגון Fortune 500 בצפון אמריקה
- מנהל ממוביל ביפן
- VIP מגרמניה
- MSSP מסעודיה וישראל
- עיתונאית באירופה
- חשוד: בכיר ממפעל שוויצרי
iOS היא מערכת הפעלה מקור סגור לחלוטין שתוכננה ופותחה על ידי אפל. זה נשלט ומוסדר בהחלט. מערכת ההפעלה לא פתוחה כמו Android של גוגל. הגרסה האחרונה של iOS היא iOS 13. עם זאת, כל המכשירים המריצים את iOS 6 ומעלה מושפעים מפגמי אבטחה אלה. חוקרי אבטחה החוקרים את הפגיעות הדגישו את האופן בו תוקפים יכולים להתפשר על אפל iOS שמריץ אייפון. בגרסאות iOS האחרונות, ההתקפה יכולה להתבצע בדרכים הבאות:
- התקפה על iOS 13: התקפות ללא עזרה (/ לחיצה אפס) על iOS 13 כאשר יישום הדואר נפתח ברקע
- התקפה על iOS 12: ההתקפה דורשת לחיצה על הדוא'ל. ההתקפה תופעל לפני הצגת התוכן. המשתמש לא ישים לב לחריגה בדוא'ל עצמו
- ניתן להפעיל התקפות ללא סיוע ב- iOS 12 (המכונה גם לחיצת אפס) אם התוקף שולט בשרת הדואר
חוקרים מגלים זוג פרצות אבטחה באפליקציית הדואר של iOS, אפל עובדת על תיקון https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- i Doctor Doctor (@Mr_iPhoneDoctor) 22 באפריל 2020
אפל לתקן פגיעויות אבטחה בעדכון הקרוב:
החוקרים טוענים כי אפל מודעת לפגמי האבטחה הללו ב- iOS. הם הוסיפו כי אפל צפויה לשחרר עדכון מצטבר ל- iOS שיכלול תיקון שיתקן את הפגיעות. עם זאת, עד שאפל אכן תשחרר עדכון, יש דרך להימנע ממיקוד או הפיכת קורבן לבאגי האבטחה.
שתי נקודות תורפה של אפס יום המשפיעות על מכשירי iPhone ו- iPad נמצאו על ידי סטארט-אפ ZecOps בתחום אבטחת הסייבר לאחר גילוי סדרת התקפות מרחוק מתמשכות שכוונו ל- IO ... באמצעות @BleepinComputer #בִּטָחוֹן #tech # יום רביעי חוכמה https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22 באפריל 2020
חוקרים מייעצים להימנע לחלוטין מאפליקציית Apple Mail. זוהי פלטפורמת הדוא'ל שתוכננה, פותחה ומתוחזקת על ידי אפל. אגב, אפליקציית הדואר תומכת בחשבונות דוא'ל של צד שלישי כמו Gmail, Outlook וכו '. לפיכך, עד שאפל תשחרר עדכון לתיקון הבאגים, משתמשים יכולים להיות תלויים באפליקציית Microsoft Outlook או בלקוחות דוא'ל דומים אחרים.
[עדכון] על פי הדיווחים, אפל פרסמה עדכון לתיקון שתי נקודות התורפה באפליקציית Apple Mail.
תגים תפוח עץApple מדביקה שתי פגיעות אבטחה המשפיעות על אפליקציית הדואר ב- iOS 13.4.5 בטא https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MHashNews) 22 באפריל 2020
