Az emberek többsége leginkább funkciókat, és egyéb újdonságokat, vagy emojikat vár az iOS frissítésektől. A kisebb frissítések azonban legtöbbször csak a megbízhatóságot, használhatóságot, és a biztonsági hibákat javítják ki.
Az iOS 10.3.3-ban egy komolyabb biztonsági hiba is javításra került, ami ebben a részletes leírásban található. Az átlagfelhasználó csak azt olvasta, hogy “hibajavításokat tartalmaz, valamint növeli az iPhone vagy iPad biztonságát”. Az Exodus Intelligence biztonsági szakértője, Nitay Artenstein által felfedezett és az Apple felé jelentett hiba azonban sokkal súlyosabb, mint azt az egyszerűnek tűnő leírásból sejthetnénk. A biztonsági rés lehetővé teszi, hogy magán a CPU-n is tetszőleges kódot futtasson a behatoló – ezzel potenciálisan átvéve az irányítást a készülék fölött.
A sebezhetőség forrása egy, a Broadcom Wi-Fi chipjeinek BCM43-as sorozatában lévő hiba. Ezek az alkatrészek az iPhone 5-től az iPhone 7-ig minden készülékben megtalálhatóak, továbbá a negyedik generációs és fiatalabb iPadek és a hatodik generációs iPod touch modellek is ilyet használnak.
Artenstein arra talált egy megoldást, hogy a Wi-Fi chipbe való bejutás után “továbbfejlesztve” a támadást, a készülék fő processzorán is bármilyen programot tudjon futtatni. Tehát egy Wi-Fi hibát kihasználva akár a teljes készülékhez hozzáfért és tetszőlegesen kódot futtathatott. Ez tulajdonképpen azt jelenti, hogy ezt a hibát kihasználva bárhol és bármikor hozzáférhettek volna a készülékünkhöz anélkül, hogy erről tudtunk volna.
Most, hogy az iOS 10.3.3 megjelenésével az Apple kijavította ezt a sérülékenységet, a biztonsági szakember a hibának és a hiba kihasználásának összes részletét fel fogja fedni a jövő héten megrendezésre kerülő Black Hat IT-biztonsági konferencián.
Tehát a kisebb iOS frissítések is komoly hibákat javíthatnak, és nem csak a saját, hanem akár céges adatokhoz is hozzáférhetnek a hackerek, ha nem frissítünk.
11 Comments
Sziasztok. Egy biztonsági kérdésem lenne hozzátok.Szerintetek az iPhone 5S vagy 6S feltölthet-e képeket,videókat a felhasználója tudta nélkül? Léteznek-e efféle internetes adathalász oldalak, virusos weblapok vagy csak hazugság az egész. A válaszokat előre is köszönöm.
@Jamesi007: A sandboxing és az iOS jogosultság kezelése miatt nem.
Most en vagyok a hulye, vagy akkor tulajdonkepp ez nem lehetett volna alternativa a jailbreakre is?
@logic5: ez nem ilyen egyszerű, de nyilván bármi olyan sebezhetőség érdekes lehet a jailbreak szempontjából is, ami aláíratlan kód futtatását teszi lehetővé, de ettől függetlenül azért nem lesz belőle következésképpen jailbreak is.
Köszönöm. Valaki ha lesz olyan szives egy kicsit bővebben is kifejtené e témát.
Ezek csak rémhír keltések. Nem akarja senki átvenni a telóm felett az irányítást. Ellenben a frissítések mindig hibákat okoznak. Képtelenek egyszerre jó sw-t csinálni
@Jamesi007: https://hu.wikipedia.org/wiki/Homokozó_(biztonság)
@Ferenc1: igen, valóban, egy bebizonyított és demonstrált, a CVE adatbázisában szereplő sebezhetőség tényleg csak rémhír.
@Jadeye: Köszönöm a linket. Ezek szerint az internetre csak akkor kerülhet fel valamilyen anyag ha azt az iPhone tulajdonosa is úgy akarja és tölti fel, minden más neten történő adatlopástól az iOS-ban levő biztonsági rendszer és maga a jogszabályzat megvéd. Legalábbis reméljük. 🙂
@Ferenc1:
Igen ez így van mármint hogy nem akarja átvenni a telód fölött az uralmat senki ha nem foglalkozol olyannal, amiért megéri! Amennyiben viszont igen akkor azért nem árt odafigyelni mit nyitsz meg pl email-t, stb, mert ott volt pl az arab emberjogi aktivista esete! Vannak akik tudnak profi kódokat alkotni ami sok dologra képesek, de egyszerű felhasználókat ezek nem igazán fenyegetik és nem a bankkártyádat akarják kifosztani, vagy a szex videóidat ellopni, ha vannak.
@Ferenc1:
Az oltasok pedig autizmust okoznak, a fold pedig lapos. Vegre valaki, aki atlat a szitan es nem veszi be a sok mainstream maszlagot. Leszunk baratok?
Gunar, köszi! Érted, amire céloztam! Nem a “hibát” vitattam, csak azt, hogy írtam rémhír, mert az emberek nagy többségét nem érinti!