Apple ima svoj ''Stagefright bag'' - iPhone se može hakovati samo jednom porukom

Vesti, 21.07.2016, 07:30 AM

Apple ima svoj ''Stagefright bag'' - iPhone se može hakovati samo jednom porukom

Imate li iPhone? Mac? Ili bilo koji Apple uređaj?

Samo jedna specijalno napravljena poruka može hakeru otkriti vaše lične informacije, uključujući korisnička imena i lozinke sačuvane u memoriji uređaja.

Bezbednosni propust sličan je ranjivosti Stagefright koja je otkrivena pre godinu dana u Androidu, i koja omogućava hakerima da špijuniraju skoro milijardu uređaja samo pomoću jedne specijalno napravljene poruke.

Istraživač Cisco Talos tima Tajler Boen koji je otkrio ovaj bag u iOS, opisuje ovaj bezbednosni propsut kao veoma opasan bag, koji se može porediti sa Android Stagefright bagom.

Bezbednosni propust (CVE-2016-4631) je u načinu na koji Appleovi proizvodi postupaju sa slikama. Propust postoji u popularnim Appleovim operativnim sistemima, uključujući OS X, iOS, tvOS i watchOS.

Sve što napadač treba da uradi je da napravi exploit za bag i pošalje ga putem multimedijalne poruke (MMS) ili iMessage u Tagged Image File Formatu (TIFF).

Napad se može izvesti preko browsera Safari, ali napadač mora da namami žrtvu da poseti web sajt koji sadrži maliciozni payload.

U oba slučaja nije neophodna interakcija korisnika za pokretanje napada jer mnoge aplikacije kao što je iMessage, automatski prikazuju slike koje stignu.

Žrtva će teško otkriti napad, koji ako se pokrene, može dovesti do curenja podataka sačuvanih u memoriji kao što su Wi-Fi lozinke, korisnička imena i lozinke za web sajtove i email servise.

Obzirom da iOS ima sandbox zaštitu koja sprečava hakere da preuzmu kontrolu nad uređajem, napadaču bi bio potreban jailbreaking iOS-a ili root exploit da bi preuzeo kontrolu nad celim iPhoneom.

Apple je objavio zakrpu za ovaj bag u iOS verziji 9.3.3, tvOS 9.2.2, watchOS 2.2.2 i El Capitan v10.11.6, ali i zakrpe za još 42 ranjivosti.

Apple je ispravio i ozbiljan bezbednosni propust u FaceTime za iOS i OS X.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bivši menadžer za bezbednost optužuje WhatsApp: „Nismo imali ni osnovnu kontrolu nad korisničkim podacima“

Bivši menadžer za bezbednost optužuje WhatsApp: „Nismo imali ni osnovnu kontrolu nad korisničkim podacima“

Bivši šef bezbednosti WhatsApp-a, Ataula Bejg, podneo je tužbu protiv Mete i niza visokih rukovodilaca u kompaniji, optužujući ih za odmazdu nak... Dalje

Hakovani Gucci, Balenciaga i Alexander McQueen, ukradeni podaci kupaca

Hakovani Gucci, Balenciaga i Alexander McQueen, ukradeni podaci kupaca

Poznata hakerska grupa ShinyHunters navodno je hakovala francuski konglomerat Kering, u čijem su vlasništvu brendovi Gucci, Balenciaga i Alexander M... Dalje

Hakeri manipulišu Google pretragom: malveri sakriveni u lažnim verzijama aplikacija Signal, WhatsApp i Chrome

Hakeri manipulišu Google pretragom: malveri sakriveni u lažnim verzijama aplikacija Signal, WhatsApp i Chrome

Istraživači iz FortiGuard Labs-a otkrili su novu kampanju u kojoj sajber kriminalci manipulišu rezultatima pretrage da bi prevarili korisnike da pr... Dalje

Sajber kriminalci imaju novi alat za krađu Microsoft 365 i Google naloga

Sajber kriminalci imaju novi alat za krađu Microsoft 365 i Google naloga

Istraživači iz Okta Threat Intelligence otkrili su novu platformu za onlajn prevare pod nazivom VoidProxy. U izveštaju objavljenom 11. septembra, i... Dalje

Apple upozorio korisnike na nove napade špijunskog softvera

Apple upozorio korisnike na nove napade špijunskog softvera

Apple je upozorio korisnike da su njihovi uređaji meta nove serije napada špijunskog softvera. Apple je ove godine do sada poslao najmanje četiri s... Dalje