Doi cercetatori ai Project Zero, programul de vanatoare de bug-uri al Google, au publicat detalii si cod de demonstrare pentru cinci din cele sase vulnerabilitati de securitate care afecteaza sistemul de operare iOS al Apple.
Cercetatorii Natalie Silvanovich si Samuel Groß de la Google Project Zero au descoperit sase vulnerabilitati de securitate in iOS, dintre care una inca nu a fost reparata de Apple.
Cercetatorii sunt parte din programul de elita de vanatoare de bug-uri al Google. Acest program gaseste adesea vulnerabilitati in serviciile altor companii si informeaza companiile relevante pentru a le repara inainte ca oamenii cu intentii rele sa exploateze acele bug-uri.
Cinci din cele sase vulnerabilitati iOS de securitate descoperite de acesti cercetatori ai Google au fost reparate in update-ul iOS 12.4 pe care Apple l-a lansat saptamana trecuta.
Acel update lansat de Google a venit cu corectii de securitate pentru dispozitivele compatibile, iar patch-urile au fost incluse. Niciunul dintre cele sase bug-uri iOS pe care cei doi cercetatori Google le-au descoperit nu necesita nicio interactiune speciala din partea utilizatorului pentru a fi exploatate.
Exploatarea lor se realizeaza prin abuzarea de o vulnerabilitate in clientul iMessage dezvoltat de Apple. Patru dintre acestea, printre care se numara si cea care nu a fost reparata, au nevoie ca un atacator sa trimita un mesaj cu un cod malitios catre un dispozitiv care nu a primit de la Apple patch-ul de securitate corespunzator.
Aceasta se poate executa de indata ce mesajul e deschis de utilizator. Celelalte doua vulnerabilitati folosesc un exploit de memorie.
Cercetatorii de securitate de la Google au postat detaliile celor cinci vulnerabilitati iOS care au primit patch-uri de la Apple. Acei cercetatori Google nu vor dezvalui detaliile celui de-al saselea bug iOS de securitate care nu a primit patch, pana ce Apple nu il repara.
Sursa imagine: Flickr.com