14 Ιουλίου 2020

iOS 13.4.1 Zero-day ευπάθεια απειλεί τα δεδομένα σας

  •  
  •  
  •  
  •  
  •   
  •  

Αρχίζει να μην μας τα λέει καλά η Apple και δικαίως κάποιοι αρχίζουν να ανησυχούνε για την ασφάλεια τους με τις τελευταίες εκδόσεις του iOS.

Μετά από τη σοβαρή Zero-day ευπάθεια στην εφαρμογή αλληλογραφίας η οποία εντοπίστηκε πριν μερικές εβδομάδες τα νερά έρχεται να ταράξει ακόμα μία εξίσου απειλητική ευπάθεια στο iOS 13.4.1.

Ο Ελβετός χάκερ με το ψευδώνυμο «Siguza» ανακάλυψε μία Zero-day στην τελευταία έκδοση του iOS 13.4.1.

Όπως εξηγεί ο«Siguza» σε μία μακροσκελή αναφορά του στο GitHub, τα προσωπικά δεδομένα των χρηστών μπορούν εύκολα να παραβιαστούν λόγω ενός σφάλματος στην εφαρμογή ανάγνωσης αρχείων XML (XML parser), καθώς το συγκεκριμένο bug επιτρέπει στους χάκερ να παρακάμπτουν ορισμένους ελέγχους ασφαλείας πριν από τη δημοσίευση μίας εφαρμογής στο App Store, με αποτέλεσμα οι εφαρμογές να έχουν απεριόριστα δικαιώματα.

Ωστόσο, σημειώνει ότι το σφάλμα θα εξαλειφθεί με την επερχόμενη ενημέρωση του iOS 13.5. προσθέτοντας:

Όσον αφορά τις πρώτες 0 ημέρες, δεν θα μπορούσα να ευχόμουν κάτι καλύτερο. Αυτό το σφάλμα με βοήθησε σε δεκάδες ερευνητικά έργα, χρησιμοποιήθηκε χιλιάδες φορές και με γλίτωσε από πολλές ώρες επίπονης εργασίας και πρόκειται για το πιο αξιόπιστο, καθαρό και κομψό που έχω γράψει ποτέ σε όλη μου τη ζωή. Και ταιριάζει ακόμη και σε ένα tweet !!
Πάνε πάνω από 3 χρόνια από τότε που το ανακάλυψα και σίγουρα θα μου άρεσε πολύ να το κρατήσω άλλη μια δεκαετία, ξέρω ότι θα μου λείψει πολύ από την επόμενη στιγμή.

Μπορούμε επίσης να αναρωτηθούμε γιατί να υπάρχει ένα τέτοιο σφάλμα. Γιατί να υπάρχουν 4 διαφορετικοί XML parsers στο iOS. Γιατί εξακολουθούμε να χρησιμοποιούμε ακόμη και XML.

Όλη η ιστορία δείχνει ότι μπορεί να είναι καλή ιδέα να αναρωτιόμαστε περιοδικά αν πραγματικά χρειάζονται όλα αυτά, ωστόσο πραγματικά δεν μπορώ να κατηγορήσω την Apple γιατί σφάλματα όπως αυτά είναι ίσως από τα πιο δύσκολα στο να εντοπιστούν.

Ακόμα και τη στιγμή που μιλάμε το bug υφίσταται ακόμα και στις τελευταίες non-beta εκδόσεις του iOS. Μπορείτε να δείτε περισσότερα για όλο το έργο στο GitHub.

[Via]


  •  
  •  
  •  
  •  
  •   
  •  

George S. Metallidis

Όλα ξεκίνησαν το 1988 όταν μπήκε στο σπίτι το πρώτο PC ένας 32bit 80386 με 4mb ram, CGA γραφικά σε 16colours monitor....και φυσικά λιώσιμο με το DOS game Grand Prix Circuit της Accolade

View all posts by George S. Metallidis →