Wraz z wczorajszym wydaniem iOS 14.4 i wszystkich innych systemów operacyjnych, Apple uwzględnił typowe poprawki błędów. Jednak Apple przyznaje, że iOS 14.4 naprawia trzy błędy bezpieczeństwa, które według firmy „mogły zostać aktywnie wykorzystane”. To pierwszy raz, gdy Apple wyraźnie przyznaje, że zamyka lukę w zabezpieczeniach, która mogła zostać wykorzystana w złośliwym ataku.
Błędy Safari i jądra zostały naprawione w iOS 14.4
W dokumencie bezpieczeństwa iOS 14.4 tutaj, możesz zobaczyć opis trzech błędów naprawionych w ramach aktualizacji. Są one następujące:
CVE-2021-1782: złośliwa aplikacja może uzyskać dostęp do podwyższonych uprawnień w jądrze.
CVE-2021-1870 i CVE-2021-1871: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu wykonawczego w pakiecie Webkit.
Jądro jest podstawową częścią systemu operacyjnego, która umożliwia pozostałej części oprogramowania dostęp do sprzętu. Webkit to silnik przeglądarki opracowany przez firmę Apple dla przeglądarki Safari, który jest używany zarówno w systemie macOS, jak i iOS. Często haker wykorzystuje wiele błędów w łańcuchu, aby uzyskać dostęp do urządzenia. W tym przypadku mamy dwa „klucze”, do których można się dostać, i „drzwi”, do których można się dostać.
Nie wiadomo, czy został użyty przeciwko jednemu lub większej liczbie użytkowników, czy też został wykorzystany na dużą skalę. Jednak sama nota bezpieczeństwa stwierdza, że „dodatkowe informacje będą dostępne wkrótce”.
Anonimowy badacz mógłby zostać nagrodzony
W uwagach dotyczących bezpieczeństwa nowej wersji oprogramowania Apple zwykle wskazuje osobę lub zespół, który je znalazł. Jeśli nie pojawia się bezpośrednie przypisanie, zakłada się, że zostało to naprawione przez ich własny zespół. Ale w tym przypadku te trzy błędy przypisuje się „anonimowemu badaczowi”.
W świecie zabezpieczeń sprzętu i oprogramowania powszechną praktyką jest publiczne publikowanie takich błędów, po skontaktowaniu się z firmą i ich naprawieniu. W ten sposób zyskujesz znaczenie i prestiż wśród rówieśników, jakby to była nowa linia CV. Dlatego jeszcze bardziej uderza anonimowość osoby lub grupy, która ujawniła te trzy błędy.
Warto pamiętać, że każda aktualizacja naprawia błędy, w niektórych przypadkach poważne, które pomagają chronić bezpieczeństwo naszych urządzeń.
To nie pierwszy przypadek wykrycia błędów bezpieczeństwa, które zostały złośliwie wykorzystane. Jednym z najbardziej znanych przypadków był Pegasus, zestaw trzech błędów, które również umożliwiały dostęp do jądra. Zostały wykorzystane przez Zjednoczone Emiraty Arabskie do szpiegowania dysydenta politycznego w kraju, a Apple naprawiło je latem 2016 roku.
Apple uruchomiło jakiś czas temu program nagród, w którym przyznaje nagrody pieniężne tym, którym uda się złamać zabezpieczenia swoich urządzeń. Nagrody wahają się od 100 000 USD za obejście blokady ekranu do 1 miliona USD za zarządzanie wykonaniem kodu w jądrze bez kliknięć.
Oczywiście anonimowy typer mógłby zgarnąć kilkaset tysięcy dolarów za te trzy błędy. Zobaczymy, czy dowiemy się więcej na ten temat w najbliższych tygodniach.