iOS 9.3.3 lansat zilele trecute de catre compania Apple rezolva o vulnerabilitate critica in baza carora hackerii pot fura orice fel de parole salvate local in iPhone, iPad sau iPod Touch, insa toate produsele Apple sunt afectate de catre ea, adica inclusiv OS X, tvOS, sau chiar watchOS, ea fiind rezolvata in actualizarile de saptamana aceasta.
Tyler Bohan este omul care a descoperit aceasta vulnerabilitate, ea existand in framework-ul ImageIO folosit de catre compania Apple pentru a reda imagini in toate sistemele de operare mentionate anterior, in baza sa el reusind sa fure orice fel de parole salvate in terminalele noastre de catre aplicatii.
Mai exact, vulnerabilitatea rezolvata in iOS 9.3.3 si noile versiuni ale OS X, tvOS sau watchOS, permite furtul parolelor Safari, a celor pentru iCloud, a celor pentru email-uri, sau chiar banalele parole pentru conectarea la retelele Wi-Fi, problema fiind una extrem de grava pentru foarte multe persoane.
Furtul parolelor devine simplu
Activarea acestei vulnerabilitati se face prin trimiterea unei imagini in format TIFF, Tagged Image File Format, prin MMS catre produsul victima, hackerul obtinand acces imediat la date fara ca victima sa stie ca al sau terminal sau calculator a fost spart de catre hackeri, deci teoretic metoda este aproape imposibil de depistat.
An attacker could create an exploit – a little program that takes advantage of vulnerabilities – and send it via a multimedia message (MMS) inside a Tagged Image File Format (TIFF). Once received, the hack would launch. The user would have no chance of detecting the attack, which would begin to write code beyond the normal permitted boundaries of an iPhone’s texting tool.
Partea si mai proasta este ca de indata ce terminalul este infectat, utilizatorul nu poate face absolut nimic pentru a rezolva problema decat sa faca o reinstalare a sistemului de operare, procedura aceasta nefiind chiar atat de simpla si nici la indemana oricui, deci nu oricine este chiar atat de dispus sa o parcurga.
The attack could also be delivered over Safari; all that would be required would be for the user to visit a website containing the malicious code and for the browser to parse the exploit. No interaction with the site would be required.
Actualizarile sunt importante
In ultimele luni compania Apple si-a facut un obicei din a inchide zeci de vulnerabilitati existente in iOS sau OS X, iar acest trend va continua in urmatorii ani deoarece Apple trebuie sa demonstreze ca lupta sa cu FBI nu a fost in zadar si ca ea nu se va da batuta prea usor in tentativa de a tine utilizatorii in siguranta.
Singura parte buna a acestei vulnerabilitati sta in faptul ca ea a fost dezvaluita abia dupa ce Apple a reusit sa o inchida prin actualizari pentru sistemele sale de operare, asa ca numarul de utilizatori care sunt afectati de catre ea va fi extrem de mic.
Zilele trecute v-am spus ca in iOS 9.3.3 a fost rezolvata o vulnerabilitate a FaceTime care permitea ascultarea conversatiilor utilizatorilor chiar si dupa intreruperea unei convorbiri, asa ca vorbim despre multe probleme majore reparate de Apple.
