Peneliti Google merinci kerentanan iOS yang dapat menangani iPhone dengan pesan teks

Sebagai aturan umum, jika Anda menghindari mengklik tautan mencurigakan yang mungkin muncul di ponsel Anda, apakah itu dikirim melalui pesan teks atau muncul sebagai iklan sembul di peramban, kemungkinan perangkat Anda terinfeksi malware sangat kecil. tidak ada

Namun, peneliti keamanan di tim Proyek Nol Google baru-baru ini mengungkapkan fitur canggih yang akan memungkinkan aktor jahat mengendalikan perangkat obyektif tanpa perlu interaksi oleh pemilik perangkat. Seperti yang dirinci oleh peneliti Google Natalie Silvanovich, selama presentasi di konferensi keamanan Black Hat minggu ini, ada beberapa kerentanan iOS 12, yang sejak itu telah ditambal oleh Apple dengan iOS 12.4, yang dapat memungkinkan pihak ketiga untuk mendapatkan kontrol penuh atas perangkat hanya dengan mengirim pesan teks.

"Ini bisa menjadi jenis kesalahan yang akan mengeksekusi kode dan akhirnya dapat digunakan untuk hal-hal bersenjata seperti mengakses data Anda," kata Silvanovich dalam komentar yang dikumpulkan oleh Cableado. “Jadi, skenario terburuk adalah bahwa kesalahan ini digunakan untuk membahayakan pengguna.

Menariknya, Silvanovich mengatakan dia tidak menemukan eksploitasi serupa yang terkait dengan SMS, MMS dan pesan suara visual. Namun, iMessage memberikan banyak eksploitasi, sebuah fakta yang mungkin dapat dikaitkan dengan seberapa kaya aplikasi tersebut.

Catatan kabel:

Ini mungkin karena iMessage adalah platform yang kompleks yang menawarkan berbagai opsi dan fitur komunikasi. Ini mencakup Animojis, render file seperti foto dan video, dan integrasi dengan aplikasi lain, dari Apple Pay dan iTunes ke Fandango dan Airbnb. Semua ekstensi dan interkoneksi ini meningkatkan kemungkinan kesalahan dan kelemahan.

Di pasar terbuka, kesalahan iOS tanpa interaksi seperti yang ditemukan oleh Silvanovich dan mitra Project Zero-nya, Samuel Groß, dapat dengan mudah dijual dengan harga jutaan dolar. Dengan kata lain, kebetulan bahwa kerentanan iOS 12 telah ditemukan oleh tim Proyek Nol Google daripada orang lain.

Pada titik ini, Anda mungkin ingat bahwa startup yang berbasis di Dubai tahun lalu mulai menawarkan hacker lebih dari $ 3 juta untuk eksploitasi iOS selama nol hari. Sebelumnya, Anda mungkin ingat bahwa sebuah perusahaan bernama Zerodium membayar $ 1 juta kepada sekelompok peretas yang merancang cara jauh untuk melepaskan iPhone.

Presentasi Silvanovich dapat dilihat secara keseluruhan di sini.

Sumber gambar: JIM LO SCALZO / EPA-EFE / Shutterstock foto