Исследователи безопасности Google ранее обнаружили шесть уязвимостей iOS, относящихся к zero interaction, ошибкам, позволяющим злоумышленникам получить контроль над телефоном через отправленные сообщения. Пять из них Apple удалось оперативно исправить в iOS 12.4, но проблема с шестой все еще остается открытой.
По словам исследователей команды Project Zero, четыре ошибки безопасности могли привести к загрузке вредоносного кода на удаленное устройство iOS, без взаимодействия с пользователем. Злоумышленнику достаточно было отправить вирусное сообщение или письмо на телефон жертвы, и вредоносный код самостоятельно загружался на устройство при его открытии.
Пятая и шестая уязвимости позволяют злоумышленнику извлекать данные из памяти удаленного устройства, тоже без вмешательства пользователя.
Дорогостоящие ошибки
Хотя в iOS 12.4 Apple попыталась удалить все шесть уязвимостей, исследователи Google утверждают, что один из патчей не помог полностью устранить ошибку.
Детали пяти эксплойтов будут представлены на конференции по безопасности Black Hat в Лас-Вегасе на следующей неделе. В соответствии с существующей практикой, Google сначала сообщает о проблемах Apple, чтобы позволить выпустить патч до раскрытия деталей уязвимости.
Такие уязвимости стоят огромных денег, когда продаются на черном рынке и их цена может составлять порядка $1 млн за каждую. Не будет преувеличением сказать, что исследователи Google опубликовали подробности об эксплойтах на сумму $5 - $10 млн долларов.
Пользователям следует обновиться до iOS 12.4, пока злоумышленники не воспользовались моментом. [Источник]