Google Project Zero-teamet har återigen upptäckt ett antal säkerhetsproblem i Apples iOS-operativsystem. Två medlemmar i Project Zero-teamet hittade fem nya svagheter “noll interaktion” i iMessage som kan tillåta angripare att alla typer av farliga saker på iPhone, från kraschade applikationer till att läsa innehållet i filer. Apple har fixat fem av de avslöjade sårbarheterna, men en svaghet är fortfarande inte korrigerad just nu.
Enligt en serie tweets publicerade av Natalie Silvanovich från Google Project Project upptäckte forskare med Samuel Grob fem sårbarheter i AppleiMessage. Dessa sårbarheter kallas nollinteraktioner eftersom de inte kräver att användare gör något annat än att öppna det farliga iMessage. Eftersom Apple har fixat dessa fyra sårbarheter i iOS 12.4 – CVE-2019-8647 som nyligen släpptes, CVE-2019-8624, CVE-2019-8646 och CVE-2019-8660 – är detaljerna nu öppna för allmänheten. Emellertid har CVE-2019-8641 fortfarande inte lagats, så forskarna höll detaljerna inom 90-dagars avslöjningsfristen.
Den största svagheten som just har avslöjats är CVE-2019-8646 och påverkan på enheter som kör iOS 12 och högre. Denna brist gör det möjligt för potentiella angripare att läsa filinnehåll lagrat på iOS-enheter utan användarinteraktion.
Bland andra iMessage-brister är CVE-2019-8660 en minnesfel och CVE-2019-8624 och CVE-2019-8647 kan orsaka iOS SpringBoard-kraschar, som hanterar iOS grafiska användargränssnitt (GUI).
Utöver denna brist var Natalie Silvanovich också ansvarig för att hitta CVE-2019-8662, som även om den inte direkt släpptes till iMessage, kunde utlösas via meddelandeprogrammet.
Natalie Silvanovich kommer att prata mer om buggar vid kommande Black Hat USA-konferens 2019.
För att komma ihåg har Apple släppt iOS 12.4 för användare av iPhone, iPad och iPod Touch. Förutom ett antal bugfixes innehåller uppdateringen en ny funktion för att överföra data trådlöst mellan två iPhone-modeller och förbättringar till Apple News +.
