Bag u iOS može da blokira iPhone slanjem zlonamernih notifikacija

Mobilni telefoni, 29.04.2025, 11:00 AM

Bag u iOS može da blokira iPhone slanjem zlonamernih notifikacija

Programer aplikacija i istraživač bezbednosti Giljerme Rembo otkrio je ranjivost u iOS-u koja može omogućiti napadačima da daljinski blokiraju iPhone uređaje. On je o svom otkriću obavestio Apple i pomogao da se popravi ova ozbiljna ranjivost povezana sa Darwin notifikacijama, mehanizmom komunikacije između procesa niskog nivoa u Apple-ovim operativnim sistemima.

Za slanje i primanje ovih obaveštenja nisu bile potrebne posebne privilegije, niti bilo kakav mehanizam koji je verifikovao pošiljaoca. Bilo koji proces na iOS-u, uključujući aplikacije u zaštićenom okruženju, mogao bi da šalje ova obaveštenja za osnovna ažuriranja i promene statusa.

Uprkos veoma ograničenom obimu podataka koji su mogli biti preneti, Giljerme Rembo je shvatio da ova obaveštenja mogu ometati rad sistema jer određene komponente reaguju na njih na način koji može poremetiti normalno funkcionisanje uređaja.

Rembo je demonstrirao dokaz koncepta (PoC, Proof of Concept), aplikaciju pod nazivom „EvilNotify“. Ona bi mogla da prouzrokuje da uređaj prikazuje određene ikone u statusnoj traci, kao što je za „detekcija tečnosti“ ili da blokira sistemske gestove za spuštanje kontrolnog centra, centra za obaveštenja i zaključanog ekrana. Aplikacija bi takođe mogla da zanemari Wi-Fi i primora sistem da umesto toga koristi mobilni internet, zaključa ekran ili natera uređaj da uđe u režim „restore in progress“.

„Pošto sam pokušao DoS napad, ovaj poslednji („restore in progress“ - „režim vraćanja u toku“) delovao je kao najperspektivniji, jer nije bilo drugog izlaza osim dodirivanja dugmeta „Restartuj“, što bi uvek uzrokovalo ponovno pokretanje uređaja“, rekao je Rembo.

Jedna linija koda je bila dovoljna da se uključi u aplikaciju da bi se izazvao ovaj problem. Obaveštenja su radila čak i kada aplikacija nije bila u prvom planu, što znači da bi se uređaj iznova restartovao. Rembo je takođe kreirao vidžet „VeryEvilNotify“ koji je blokirao iOS uređaj, zahtevajući brisanje i vraćanje iz rezervne kopije. Aplikacija bi završila u rezervnoj kopiji, pa bi se uređaj vraćao iz takve rezervne kopije, i greška bi ponovo pokrenula isti proces.

Rembo je prijavio problem kompaniji Apple 26. juna 2024. godine. Apple je priznao grešku i ispravio je pa sada „osetljiva obaveštenja zahtevaju ograničena prava“.

„Sa objavljivanjem iOS 18.3, svi problemi prikazani u mom PoC su rešeni“, rekao je Rembo koga je Apple zbog ovog otkrića nagradio sa 17.500 dolara.

Foto: Shawn Rain | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Android 16 dobija zaštitu od povezivanja na lažne bazne stanice

Zamislite da ste negde u gradu, telefon vam pokazuje pun signal, ali vi ste zapravo povezani na lažnu mrežu koja može da vas špijunira. Zvuči kao... Dalje

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

Istraživanje otkriva: Besplatne VPN aplikacije ugrožavaju privatnost miliona korisnika

U eri kada sve više ljudi koristi VPN servise da bi zaštitili svoju privatnost, pojavljuju se ozbiljna upozorenja da neki od tih alata, naročito ak... Dalje

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

U aplikacijama u Apple App Store i Google Play pronađen novi malver SparkKitty koji krade slike i kriptovalute

Istraživači kompanije Kaspersky otkrili su novi mobilni malver za krađu kriptovaluta pod nazivom SparkKitty. Malver je pronađen u aplikacijama u z... Dalje

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Novi trikovi starog prevaranta: otkrivena nova verzija Android malvera Godfather

Istraživači sajber bezbednosti u Zimperium zLabs-u otkrili su novu verziju Android malvera „Godfather“ koja koristi naprednu tehniku naz... Dalje

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina korisnika mobilnih telefona svakodnevno se susreće sa prevarama

Skoro polovina (44%) korisnika mobilnih telefona navodi da su svakodnevno izloženi prevarama i pretnjama, a većina je zabrinuta zbog gubitka važni... Dalje