Przejdź na

Poważna luka w nowym iOS 12.1 umożliwia kradzież „usuniętych" zdjęć z iPhone'a

Apple często chwali się wysokim bezpieczeństwem oferowanym przez iPhone’y. Owszem, zamknięta struktura i dbanie o jakość oficjalnego sklepu z aplikacjami, przynosi pewne korzyści i mniej szkodliwego oprogramowania niż na Androidzie. Aczkolwiek nie oznacza to, że iOS jest twierdzą nie do zdobycia. Wręcz przeciwnie, regularnie słyszymy o odkryciu kolejnych podatności. Najnowsza znaleziona luka może okazać się naprawdę niebezpieczna. Umożliwia ona bowiem nieautoryzowany dostęp do plików użytkownika.

Odkryta luka umożliwia dostęp do prywatnych plików. (depositphotos)Odkryta luka umożliwia dostęp do prywatnych plików. (depositphotos)
Mateusz Budzeń

Grupie Fluoroacetate udało się włamać do iPhone’a X z zainstalowanym najnowszym iOS-em 12.1. Udana próba wykorzystania luki w przeglądarce Safari miała miejsce podczas konkursu Pwn2Own, w którym udział biorą specjaliści zajmujący się bezpieczeństwem.

Folder Ostatnio usunięte w iPhonie.
Folder Ostatnio usunięte w iPhonie.

Richard Zhu i Amat Cama z grupy Fluoroacetate, po włamaniu się do iPhone’a, uzyskali dostęp do m.in. zdjęć zapisanych w urządzeniu. Warto podkreślić, że mogli oni również wyodrębnić pliki z galerii, które zostały wcześniej usunięte (przeniesione do kosza). W przypadku iPhone’a kliknięcie na przycisk Usuń przenosi zdjęcia do folderu Ostatnio usunięte. Dopiero następnie są one automatycznie kasowane, najczęściej po upływie maksymalnie 40 dni. Jak jednak pokazuje opisywany przykład, przez ten okres wciąż są dostępne i mogą zostać „zdobyte” przez cyberprzestępców.

W celu przeprowadzenia ataku została wykorzystana luka w kompilatorze JIT (just-in-time), który pozwala iPhone’owi w wybranych scenariuszach działać szybciej, przetwarzając kod w trakcie działania programu. Badacze z iPhonem połączyli się z użyciem złośliwego punktu dostępu do sieci Wi-Fi. Jak już napisaliśmy, luka pozwoliła na pobranie zdjęcia z folderu Ostatnio usunięte. Jednakże warto mieć na uwadze, że może ona zostać wykorzystana do uzyskania dostępu do innych danych.

Wspomniani badacze otrzymali za odkrycie nagrodę 50 tys. dolarów. Dane dotyczące luki, zgodne z zasadami zawodów Pwn2Own, zostały przekazane firmie Apple. Nie zostały ujawnione cyberprzestępcom, którzy mogliby je wykorzystać do włamań na iPhone’y. Możliwe, że Apple wyda odpowiednią łatkę bezpieczeństwa w najbliższej aktualizacji – iOS 12.1.1.

Podczas imprezy Pwn2Own odkryto lukę nie tylko w iPhonie X. Wcześniej podatności znaleziono w Samsungu Galaxy S9 i Xiaomi Mi 6.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zagrożenia w sieci. Na nie narażone są dzieci
Zagrożenia w sieci. Na nie narażone są dzieci
Sextortion: na czym polega internetowy szantaż?
Sextortion: na czym polega internetowy szantaż?
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Koniec dominacji USA w Europie? Francja porzuca Windowsa
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Ministerstwo Cyfryzacji zachwala mSzyfr. Nowy, bezpieczny komunikator
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Zapłacą 99 mln dol. Pozwolą naprawić ciągniki bez oficjalnego serwisu
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Komunikat Pekao S.A. Dotyczy wszystkich klientów
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Copilot znika. Microsoft wycofuje się z agresywnej promocji
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Santander Bank Polska zmienia nazwę. Będzie nowy adres WWW
Masz mObywatela? Niektóre funkcje będą niedostępne
Masz mObywatela? Niektóre funkcje będą niedostępne
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Awaria w Alior Banku. Nie działa aplikacja (aktualizaja)
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
Ostrzeżenie CERT Orange. "Karta SIM wymaga aktualizacji"
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥