iOS: 5 kerentanan keamanan kritis telah ditemukan di iPhone

Google Project Zero baru saja meluncurkan 4 5 eksploitasi kritis yang ditemukan baru-baru ini di iOS. Ini dapat digunakan untuk meretas iPhone dari jarak jauh dengan mengirim pesan sederhana melalui iMessage. Apple telah diberitahu tentang masalah di hulu dan menawarkan patch keamanan di pembaruan terbaru iOS 12.4.

Pelanggaran keamanan tidak hanya ada di Internet smartphones Android – mereka ada di semua jenis perangkat, termasuk iPhone yang pemasarannyaApple sering melebih-lebihkan keamanan. Tentu saja, dengan mengatakan itu, kita melupakan satu aspek penting: sebenarnya bukan fakta bahwa ada kekurangan yang bermasalah. Yang penting adalah mereka cepat diperbaiki. Dan dari sudut pandang ini, iPhone memiliki keunggulan besar smartphones Android: Mereka segera menerima pembaruan iOS, segera setelah tersedia. Sementara di Android, itu adalah niat baik dari produsen.

Kelemahan keamanan penting juga memengaruhi iPhone, tetapi cepat ditambal …

Ini tidak mengurangi fakta bahwa para ahli Google Project Zero telah menemukan tusuk sate yang bagus baru-baru ini di iOS. Karena ini bukan kelemahan kecil: kita berbicara tentang kelemahan kritis yang memungkinkan penyerang untuk mengambil kendali penuh dari perangkat dan menyaring data, tanpa pengguna harus membuka apa pun untuk itu . Ada total lima kerentanan – salah satunya (CVE-2019-8641) tetap untuk saat ini Apple selesai menambal itu. Keempat kesalahan lainnya semuanya diperbaiki sebelum dipublikasikan oleh tim dariApple, diinformasikan di hulu oleh para peneliti Project Zero. Semua berhubungan dengan iMessage, protokol pesan berpemilikApple.

Kelemahan pertama (CVE-2019-8647) memungkinkan eksekusi kode arbitrer dengan menyerang kerangka Data Inti iOS – sehubungan dengan metode yang tidak cukup aman (NSArray initWithCoder). Yang kedua (CVE-2019-8662), serupa, berada di fitur pratinjau cepat Quicklook. Yang ketiga (CVE-2019-8660) memungkinkan untuk merusak memori melalui komponen Siri dari kerangka Data Core, yang memungkinkan untuk menyebabkan crash dan pelaksanaan kode arbitrer.

Baca juga: Bluetooth BLE – lubang keamanan untuk melacak PC dan iPhone

Akhirnya, kerentanan CVE-2019-8646, yang juga berada di Siri dan kerangka Data Core, memungkinkan penyerang untuk membaca konten file dari iPhone jarak jauh tanpa interaksi pengguna, dan memberinya akses total – tidak sandboxed – ke perangkat. Google telah memposting "bukti konsep" (yaitu demonstrasi) dari kelemahan keamanan ini yang membuatnya lebih mudah bagi peretas potensial. Namun, seperti yang Anda katakan sebelumnya, fakta bahwa pembaruan telah didorong di seluruh taman iPhone yang bersangkutan mengurangi risiko. Salah satu cara untuk menekankan, jika perlu, minat mempercepat pengiriman pembaruan di ekosistem Android.

Sumber: The Hacker News