Πέμπτη, 13 Αυγούστου, 16:38
Αρχική security Η επίθεση ‘Chaos’ σε iPhone X εκμεταλλεύεται ευπάθειες

Η επίθεση ‘Chaos’ σε iPhone X εκμεταλλεύεται ευπάθειες

Η επίθεση κάνει χρήση των προηγουμένων αποκαλυπτόμενων κρίσιμων τρωτών σημείων στο πρόγραμμα περιήγησης ιστού της Apple και στο iOS.

Ένας Κινέζος ερευνητής ασφάλειας δημοσίευσε αυτό που ισχυρίζεται ότι είναι μια απόδειξη απόκτησης εκμετάλλευσης που θα επέτρεπε σε έναν απομακρυσμένο εισβολέα να κάνει jailbreak ένα iPhoneX – επιτρέποντάς του να αποκτήσει πρόσβαση στα δεδομένα ενός θύματος, την επεξεργαστική ισχύ και άλλα.

Ο Qixun Zhao του Qihoo 360 δημιούργησε την εκμετάλλευση, την οποία ονομάζει “Chaos”, γύρω από τις αποκαλυπτικές κρίσιμες ευπάθειες του ιστοτόπου Apple Safari και iOS, την οποία η Apple ενημέρωσε αυτή την εβδομάδα με την έκδοση iOS 12.1.3.

Τα τηλέφωνα που τρέχουν το iOS 12.1.2 και παλαιότερες εκδόσεις εξακολουθούν να είναι ευάλωτα στο Chaos, το οποίο απασχολεί δύο ευπάθειες ασφαλείας που παρουσιάστηκαν για πρώτη φορά στο διαγωνισμό hacking TianfuCup τον περασμένο Νοέμβριο: Ένα ελάττωμα διαφθοράς μνήμης στο Safari WebKit της Apple (CVE-2019-6227) και ένα ζήτημα διαρροής μνήμης μετά από χρήση στον πυρήνα iOS (CVE-2019-6225).

Chaos

Η πρώτη ευπάθεια θα επέτρεπε σε έναν εισβολέα να δημιουργήσει μια κακόβουλη ιστοσελίδα χρησιμοποιώντας το πρόγραμμα περιήγησης Safari, που περιέχει scripts για την εκτέλεση αυθαίρετου κώδικα σε μια στοχευμένη συσκευή. Μόλις εκτελεστεί αυτός ο κώδικας, ο εισβολέας μπορεί να χρησιμοποιήσει το δεύτερο ελάττωμα για να αποκτήσει αυξημένα προνόμια και να εγκαταστήσει κρυφά μια κακόβουλη εφαρμογή της επιλογής του.

Η εφαρμογή αυτή μπορεί να είναι κάθε είδους κακόβουλο λογισμικό, κατασκευασμένο για υποκλοπές ή άλλη κατασκοπεία, απάτη διαφήμισης, απάτη SMS, κρυπτολογία ή μια σειρά άλλων κακοποιημένων δραστηριοτήτων, ανέφερε ο ερευνητής.

Η επίθεση έχει μήπως κοινωνική πτυχή; τα θύματα θα πρέπει να προσελκύονται για να επισκεφθούν την κακόβουλη ιστοσελίδα μέσω του Safari στα iPhone Xs τους.

Ενώ ο ερευνητής δημοσίευσε ένα βίντεο PoC, επέλεξε να μην δημοσιεύσει τον ίδιο τον κώδικα jailbreak, δεδομένης της πιθανώς μεγάλης  επίθεσης.

“Δεν θα κυκλοφορήσω τον κώδικα εκμετάλλευσης, αν θέλετε να κάνετε jailbreak, θα πρέπει να ολοκληρώσετε τον κώδικα εκμετάλλευσης μόνοι σας ή να περιμένετε να κυκλοφορήσει στην κοινότητα του jailbreak”, ανέφερε σε μια τεχνική περιγραφή της εκμετάλλευσης την Τετάρτη. “Ταυτόχρονα, δεν θα αναφέρω τις λεπτομέρειες εκμετάλλευσης του post-exploit, καθώς αυτό το χειρίζεται η κοινότητα του jailbreak.”

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Οι 20 καλύτερες gaming κονσόλες όλων των εποχών

Στο κατώφλι της νέας γενιάς κονσολών, όπως είναι το PlayStation 5 και το Xbox Series X, αυτές είναι οι πιο σημαντικές κι...

Έξυπνες κλειδαριές: Κάθε σπίτι χρειάζεται να έχει μία!

Η ασφάλεια στο σπίτι είναι ένα περίπλοκο ζήτημα, αλλά οτιδήποτε είναι ασφαλέστερο από το κρύψιμο ενός εφεδρικού κλειδιού μέσα σε μία πολύ...

LinkedIn: Πώς ηχογραφείτε κι εμφανίζετε την προφορά του ονόματός σας;

Το να έχει κανείς ένα επώνυμο που σχεδόν κανένας δεν προφέρει σωστά, μερικές φορές μπορεί να γίνει ενοχλητικό. Έτσι, το LinkedIn επιχειρεί...

Κυβερνοεπιθέσεις: 5 βήματα για την αντιμετώπιση περιστατικών ασφαλείας

Κάθε οργανισμός είναι επιρρεπής σε κυβερνοεπιθέσεις και, όταν συμβαίνει, υπάρχει μια μικρή γραμμή μεταξύ της διάσωσης της ασφάλειας του δικτύου σας και...

Προστατεύστε τα προσωπικά δεδομένα σας όσο βρίσκεστε σε διακοπές

Σας έχει τύχει να πάτε διακοπές και να χάσετε το διαβατήριό σας, το πορτοφόλι σας ή άλλα...

Πώς θα αποκτήσετε το Snapchat στον υπολογιστή σας

Μία από τις δημοφιλέστερες εφαρμογές των τελευταίων ετών, το Snapchat, έχει χαρίσει πολλές ώρες διασκέδασης και επικοινωνίας στους χρήστες του. Γνωρίζατε όμως...

Windows εφαρμογές που πρέπει να διαγράψετε για μια καλύτερη εμπειρία!

Κάποιες εφαρμογές των Windows είναι απαραίτητες για να λειτουργεί σωστά ένας υπολογιστής, ενώ άλλες, πολλές φορές προκαλούν προβλήματα. Πρόκειται για εφαρμογές που...

Πώς να δοκιμάσετε τα νέα data-saving video settings του Chrome 86;

Αν υπάρχει κάποιο ζήτημα όσον αφορά την επερχόμενη ενημέρωση του Chrome 86, αυτό φαίνεται να είναι η αποτελεσματικότητα. Οι χρήστες αναμένουν μια...

Netflix: Πώς να αλλάξετε την γλώσσα σε προφίλ, υπότιτλους και ήχο

Το Netflix δεν είναι απλώς μια υπηρεσία streaming αγγλικής γλώσσας με περιεχόμενο από όλο τον κόσμο. Μπορείτε εύκολα να παρακολουθήσετε ταινίες και...

Πώς να μπλοκάρετε spam κλήσεις και μηνύματα σε Android;

Το Android μπορεί να σας βοηθήσει να μπλοκάρετε και να ξεφορτωθείτε τις ενοχλητικές spam κλήσεις. Αν μπλοκάρετε...