ペトル・シュクタ Google Project Zero グループの研究者は、iOS プラットフォーム史上最大の脆弱性の 1 つを発見しました。この悪意のあるマルウェアは、モバイル Safari Web ブラウザのバグを悪用しました。
Google Project Zero の専門家である Ian Beer がブログですべてを説明しています。今回は誰も攻撃を避ける必要がありませんでした。感染するには、感染した Web サイトにアクセスするだけで十分です。
かもしれない 興味がありますか
デビッド・ハナク Threat Analysis Group (TAG) のアナリストは、最終的に、iOS 10 から iOS 12 までに存在した合計 XNUMX つの異なるバグを発見しました。言い換えれば、これらのシステムが市場に出てから少なくとも XNUMX 年間、攻撃者はこの脆弱性を利用する可能性がありました。
このマルウェアは非常に単純な原理を使用しました。ページにアクセスすると、コードがバックグラウンドで実行され、デバイスに簡単に転送されました。プログラムの主な目的は、ファイルを収集し、1 分間隔で位置データを送信することでした。そして、プログラムはそれ自体をデバイスのメモリにコピーしたため、そのような iMessage ですら安全ではありませんでした。
TAG は Project Zero と協力して、5 つの重大なセキュリティ上の欠陥にわたって合計 14 個の脆弱性を発見しました。このうち、7 件は iOS のモバイル Safari に関連しており、さらに 5 件はオペレーティング システム自体のカーネルに関連しており、2 件はサンドボックスを回避することさえできました。発見時点では、脆弱性はパッチされていませんでした。
写真: EverythingApplePro
iOS 12.1.4のみで修正
Project Zeroの専門家が報告した Apple のミス、規定に従って 7 日間の猶予を与えた 出版まで。同社は1月9日に通知を受け、12.1.4月XNUMX日にリリースされたiOS XNUMXのアップデートでバグを修正した。
これらの一連の脆弱性は、攻撃者が影響を受けるサイトを通じてコードを簡単に拡散する可能性があるという点で危険です。デバイスに感染するには、Web サイトを読み込んでバックグラウンドでスクリプトを実行するだけなので、ほぼ誰でも危険にさらされることになります。
すべては Google Project Zero グループの英語ブログで技術的に説明されています。投稿には詳細と詳細が豊富に含まれています。単なる Web ブラウザがデバイスへのゲートウェイとして機能するのは驚くべきことです。ユーザーは何もインストールする必要はありません。
したがって、デバイスのセキュリティを軽視することはできません。
かもしれない 興味がありますか
ズドルイ: 9to5Mac
