Apple ima svoj ''Stagefright bag'' - iPhone se može hakovati samo jednom porukom

Vesti, 21.07.2016, 07:30 AM

Apple ima svoj ''Stagefright bag'' - iPhone se može hakovati samo jednom porukom

Imate li iPhone? Mac? Ili bilo koji Apple uređaj?

Samo jedna specijalno napravljena poruka može hakeru otkriti vaše lične informacije, uključujući korisnička imena i lozinke sačuvane u memoriji uređaja.

Bezbednosni propust sličan je ranjivosti Stagefright koja je otkrivena pre godinu dana u Androidu, i koja omogućava hakerima da špijuniraju skoro milijardu uređaja samo pomoću jedne specijalno napravljene poruke.

Istraživač Cisco Talos tima Tajler Boen koji je otkrio ovaj bag u iOS, opisuje ovaj bezbednosni propsut kao veoma opasan bag, koji se može porediti sa Android Stagefright bagom.

Bezbednosni propust (CVE-2016-4631) je u načinu na koji Appleovi proizvodi postupaju sa slikama. Propust postoji u popularnim Appleovim operativnim sistemima, uključujući OS X, iOS, tvOS i watchOS.

Sve što napadač treba da uradi je da napravi exploit za bag i pošalje ga putem multimedijalne poruke (MMS) ili iMessage u Tagged Image File Formatu (TIFF).

Napad se može izvesti preko browsera Safari, ali napadač mora da namami žrtvu da poseti web sajt koji sadrži maliciozni payload.

U oba slučaja nije neophodna interakcija korisnika za pokretanje napada jer mnoge aplikacije kao što je iMessage, automatski prikazuju slike koje stignu.

Žrtva će teško otkriti napad, koji ako se pokrene, može dovesti do curenja podataka sačuvanih u memoriji kao što su Wi-Fi lozinke, korisnička imena i lozinke za web sajtove i email servise.

Obzirom da iOS ima sandbox zaštitu koja sprečava hakere da preuzmu kontrolu nad uređajem, napadaču bi bio potreban jailbreaking iOS-a ili root exploit da bi preuzeo kontrolu nad celim iPhoneom.

Apple je objavio zakrpu za ovaj bag u iOS verziji 9.3.3, tvOS 9.2.2, watchOS 2.2.2 i El Capitan v10.11.6, ali i zakrpe za još 42 ranjivosti.

Apple je ispravio i ozbiljan bezbednosni propust u FaceTime za iOS i OS X.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft najavio produžetak podrške za Windows 10 za godinu dana

Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje