Apple ima svoj ''Stagefright bag'' - iPhone se može hakovati samo jednom porukom
Vesti, 21.07.2016, 07:30 AM

Imate li iPhone? Mac? Ili bilo koji Apple uređaj?
Samo jedna specijalno napravljena poruka može hakeru otkriti vaše lične informacije, uključujući korisnička imena i lozinke sačuvane u memoriji uređaja.
Bezbednosni propust sličan je ranjivosti Stagefright koja je otkrivena pre godinu dana u Androidu, i koja omogućava hakerima da špijuniraju skoro milijardu uređaja samo pomoću jedne specijalno napravljene poruke.
Istraživač Cisco Talos tima Tajler Boen koji je otkrio ovaj bag u iOS, opisuje ovaj bezbednosni propsut kao veoma opasan bag, koji se može porediti sa Android Stagefright bagom.
Bezbednosni propust (CVE-2016-4631) je u načinu na koji Appleovi proizvodi postupaju sa slikama. Propust postoji u popularnim Appleovim operativnim sistemima, uključujući OS X, iOS, tvOS i watchOS.
Sve što napadač treba da uradi je da napravi exploit za bag i pošalje ga putem multimedijalne poruke (MMS) ili iMessage u Tagged Image File Formatu (TIFF).
Napad se može izvesti preko browsera Safari, ali napadač mora da namami žrtvu da poseti web sajt koji sadrži maliciozni payload.
U oba slučaja nije neophodna interakcija korisnika za pokretanje napada jer mnoge aplikacije kao što je iMessage, automatski prikazuju slike koje stignu.
Žrtva će teško otkriti napad, koji ako se pokrene, može dovesti do curenja podataka sačuvanih u memoriji kao što su Wi-Fi lozinke, korisnička imena i lozinke za web sajtove i email servise.
Obzirom da iOS ima sandbox zaštitu koja sprečava hakere da preuzmu kontrolu nad uređajem, napadaču bi bio potreban jailbreaking iOS-a ili root exploit da bi preuzeo kontrolu nad celim iPhoneom.
Apple je objavio zakrpu za ovaj bag u iOS verziji 9.3.3, tvOS 9.2.2, watchOS 2.2.2 i El Capitan v10.11.6, ali i zakrpe za još 42 ranjivosti.
Apple je ispravio i ozbiljan bezbednosni propust u FaceTime za iOS i OS X.

Izdvojeno
Nova era sajber kriminala: ransomware u oblaku

Ransomware je dugo bio sinonim za šifrovane fajlove na računarima i hakere koji od žrtava traže da plate otkup za vraćanje podataka. Međutim, Mi... Dalje
Grok chatovi završili na Google-u: 370.000 privatnih razgovora dostupno svima

Ako ste ikada koristili Grok, četbot kompanije xAI iza kojeg stoji Ilon Musk, možda su transkripti vaših razgovora završili na internetu, dostupni... Dalje
Veštačka inteligencija je naivna: AI pomoćnici ne prepoznaju stare onlajn prevare

Istraživači iz Guardio Labs-a demonstrirali su novu tehniku napada pod nazivom PromptFix, koja pokazuje koliko su AI pomoćnici u pretraživačima r... Dalje
Ahilova peta menadžera lozinki - ugroženi milioni korisnika

Na svetskoj hakerskoj konferenciji DEF CON, istraživač Marek Tot iz Češke otkrio je kritične ranjivosti u ekstenzijama za veb pregledače popular... Dalje
Apple objavio hitne zakrpe: opasna ranjivost već iskorišćena u napadima

Apple je objavio vanredna ažuriranja za iPhone, iPad i Mac, nakon što je otkrivena ranjivost koja se, prema priznanju kompanije, već koristi u cilj... Dalje
Pratite nas
Nagrade