Om du undviker att klicka på misstänkta länkar som kan visas på din mobiltelefon – oavsett om de skickas via textmeddelanden eller visas som popup-annonser i en webbläsare – är chansen att din enhet smittas med skadlig programvara mycket smal. det finns inget.
Ändå avslöjade säkerhetsforskare från Googles Project Zero-team nyligen sofistikerade exploater som skulle göra det möjligt för skadliga aktörer att kontrollera riktade enheter utan nödvändig interaktion alls från enhetens ägare alls. Som Google-forskaren Natalie Silvanovich redogjorde för under en presentation på säkerhetskonferensen Black Hat den här veckan har det förekommit flera utnyttjanden av iOS 12 – som sedan har lappats av Apple med iOS 12.4 – som gör det möjligt för tredje parter att få full kontroll över enheten bara genom att skicka textmeddelanden.
“Detta kan förvandlas till ett slags fel som kommer att köra kod och i slutändan kan användas för saker som är beväpnade så som att få åtkomst till dina data,” sade Silvanovich i sina kommentarer tagna av Trådbunden. “Så det värsta fallet är att detta fel används för att äventyra användare.
Intressant nog konstaterade Silvanovich att han inte hittade liknande utnyttjande av vanliga SMS, MMS och visuella röstmeddelanden. iMessage producerar emellertid ett överraskande antal exploater, ett faktum som kan vara relaterat till hur rika funktionernas funktioner är.
Trådbunden notera:
Detta är möjligt eftersom iMessage är en komplex plattform som erbjuder olika kommunikationsalternativ och funktioner. Detta inkluderar Animoji, rendering av filer som foton och videor och integration med andra applikationer – från vad Apple Pay och iTunes till Fandango och Airbnb. Alla dessa förlängningar och sammankopplingar ökar sannolikheten för fel och svagheter.
På den öppna marknaden kan iOS-buggar utan interaktioner som de som upptäckts av Silvanovich och hans Project Zero-partner Samuel Groß enkelt säljas för miljoner dollar. Med andra ord, det händer bara så att utnyttjandet av iOS 12 grävdes av Googles Project Zero-team i motsats till andra.
Till denna punkt kanske du kommer ihåg att en Dubai-baserad uppstart förra året började erbjuda hackare mer än 3 miljoner dollar för att utnyttja iOS under noll dagar. Tidigare kanske du kommer ihåg att ett företag som heter Zerodium betalade $ 1 miljon till en grupp hackare som kom med ett sätt att jailbreak iPhone på distans.
Silvanovichs presentationsdäck kan ses som en helhet här.
Bildkälla: Foto av JIM LO SCALZO / EPA-EFE / Shutterstock
