Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.

Ερευνητής ανακάλυψε το κενό ασφαλείας, χάρη στο οποίο κατάφερε να πάρει τον έλεγχο συσκευών iPhone που βρίσκονταν στο διπλανό δωμάτιο.

Ένα σημαντικό κενό ασφαλείας ανακάλυψε ο ερευνητής Ian Beer, μέλος της ομάδας Project Zero της Google που έχει ως σκοπό την εύρεση "zero-day" προβλημάτων λογισμικού. Το εν λόγω πρόβλημα αφορούσε κινητά iPhone και επέτρεπε στον χρήστη να πάρει τον πλήρη έλεγχο ενός κινητού, εφόσον αυτό βρισκόταν μέσα στην εμβέλεια του Wi-Fi της συσκευής.

Μέσω αυτού, ο (κακόβουλος, λογικά) χρήστης θα μπορούσε να κάνει οτιδήποτε με το κινητό, από μια απλή επανεκκίνηση ως το άνοιγμα εφαρμογών και το κατέβασμα όλων των δεδομένων που βρίσκονται αποθηκευμένα στο κινητό, στη δική του συσκευή. Μιλώντας στο Ars Technica, ο ιδρυτής του Project Zero, Chris Evans, αναφέρει πως το πιο τρομακτικό πράγμα σχετικά με το συγκεκριμένο exploit, είναι πως το θύμα δεν έχει τρόπο να γνωρίζει πως το κινητό του -και τα προσωπικά του δεδομένα- παραβιάστηκαν με οποιονδήποτε τρόπο. 

Τα καλά νέα είναι πως δεν υπάρχουν ενδείξεις ότι το κενό ασφαλείας εκμεταλλεύτηκε από κάποιον, ενώ ο Beer έδωσε άπλετο χρόνο στην Apple να το διορθώσει προτού μοιραστεί πληροφορίες σχετικά με αυτό και η διόρθωση ήρθε με την έκδοση iOS 13.5 τον περασμένο Μάιο. Το μοναδικό κομμάτι ανησυχίας είναι, όπως σημειώνει ο Beer, πως τουλάχιστον ένας exploit seller γνώριζε για το κενό περίπου την ίδια περίοδο που η Apple κυκλοφόρησε το update όμως παραμένει άγνωστο αν το εκμεταλλεύτηκε με οποιοδήποτε τρόπο.

Πώς μπόρεσε να υπάρξει όμως, σε πρώτη φάση, το όλο πρόβλημα; Η αιτία πίσω από το πρόβλημα είναι το πρωτόκολλο AWDL, που επιτρέπει σε συσκευές όπως τα iPhone, iPad, Mac και Apple Watch να δημιουργούν ad-hoc peer-to-peer mesh networks. Ο Beer το περιέγραψε και με πιο απλά λόγια:

Αναφορά σε κείμενο

Πιθανότατα, αν έχετε μια συσκευή Apple, τότε δημιουργείτε ή συνδέεστε σε ένα τέτοιου είδους δίκτυο πολλές φορές την ημέρα δίχως καν να το αντιλαμβάνεστε.

Αν έχετε ποτέ χρησιμοποιήσει το AirDrop, έχετε κάνει stream τη μουσική σας στο HomePod ή το Apple TV σας μέσω AirPlay ή χρησιμοποιήσατε το iPad ως δεύτερη οθόνη μέσω του Sidecar τότε έχετε χρησιμοποιήσει το AWDL. Όμως ακόμη κι αν δεν έχετε χρησιμοποιήσει αυτές τις λειτουργίες, αν τις χρησιμοποίησε κάποιος κοντά σας τότε είναι πιθανό η συσκευή σας να συνδέθηκε στο AWDL mesh network που εκείνοι χρησιμοποιούσαν.

Στο παρακάτω βίντεο που ανέβασε στο κανάλι του, ο Ian Beer κάνει επίδειξη των τρόπων με τους οποίους μπορούσε κάποιος να εκμεταλλευτεί το bug με κακόβουλες προθέσεις. Μια από τις πιο απλές -και τρομακτικές- χρήσεις είναι η λειτουργία της κάμερας και του μικροφώνου στο κινητό του θύματος, με τον εισβολέα να χρησιμοποιεί κυριολεκτικά το κινητό του θύματος για κατασκοπία, ίσως και καταγραφή.

Το πιο σημαντικό από όσα δοκιμάζει, είναι ίσως το exploit που του δίνει πλήρη πρόσβαση στα προσωπικά δεδομένα του κινητού του θύματος, περιλαμβάνοντας e-mails, φωτογραφίες, μηνύματα και κωδικούς. Για την επίθεση, ο Beer χρησιμοποίησε ένα laptop, ένα Raspberry Pi και μερικούς αντάπτορες Wi-Fi του εμπορίου. Χρειάζεται περίπου δύο λεπτά για να αποκτήσει πρόσβαση στη συσκευή, με τον ίδιο παρόλα αυτά να λέει πως ένας καλύτερα γραμμένος κώδικας μπορεί να επιστρέψει το ίδιο αποτέλεσμα σε λίγα μόλις δευτερόλεπτα.

Η σελίδα της Apple, με δεδομένα του περασμένου Ιουνίου, δείχνει πως η πλειοψηφία των χρηστών iPhone έχουν αναβαθμίσει σε έκδοση όπου έχει διορθωθεί το πρόβλημα, οπότε η λογική λέει πως οι χρήστες που μπορούν ακόμη να επηρεαστούν από αυτό -μην ξεχνάμε, λειτουργεί σε εμβέλεια Wi-Fi- είναι ελάχιστοι ανά τον πλανήτη.


Διαβάστε ολόκληρο το άρθρο

  • Απαντ. 63
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοφιλείς Ημέρες

Δημοσ.

Κενά ασφαλείας υπάρχουν και θα υπάρχουν σε κάθε είδους λογισμικό ή hardware.

Εμένα με εκπλήσσουν πάντα αυτοί που καταφέρνουν και τα βρίσκουν και τους βγάζω το καπέλο

Υ.γ. το σχόλιο μου ισχύει για MacOs,iOs, Windows ,Linux, Android κ.ο.κ

  • Like 21
  • Thanks 7
Δημοσ.
5 λεπτά πριν, steliosgripoulas είπε

Λεμε για κατι πριν πολυ καιρο το οποιο λεει δεν παραβιαστηκε ποτε και απλα ειπες να το ανεβασεις για κανα like!Gjjjj.Και σανωτερα

Δεν τα λένε πριν γίνουν patch. Πρώτα τα αναφέρουν και δίνουν χρόνο να πατσαριστει και μετά γίνονται δημόσια. 

Δημοσ. (επεξεργασμένο)
49 λεπτά πριν, steliosgripoulas είπε

Λεμε για κατι πριν πολυ καιρο το οποιο λεει δεν παραβιαστηκε ποτε και απλα ειπες να το ανεβασεις για κανα like!Gjjjj.Και σανωτερα

Το ότι δεν παραβιάστηκε ποτέ που ακριβώς το λέει στο άρθρο;;

Επεξ/σία από Rattlehead
  • Like 2
Δημοσ.
12 λεπτά πριν, Rattlehead είπε

Το ότι δεν παραβιάστηκε ποτέ που ακριβώς το λέει στο άρθρο;;


Επίσης λέει:

Αναφορά σε κείμενο

το πιο τρομακτικό πράγμα σχετικά με το συγκεκριμένο exploit, είναι πως το θύμα δεν έχει τρόπο να γνωρίζει πως το κινητό του -και τα προσωπικά του δεδομένα- παραβιάστηκαν με οποιονδήποτε τρόπο. 

Οπότε το ότι τόσο καιρό δεν χρησιμοποιήτε είναι απλά εικασίες

Δημοσ.
Αναφορά σε κείμενο

 μέλος της ομάδας Project Zero της Google

βλέπω όμως ότι και iphone έχει και σε macbook δουλεύει και osX τρέχει....   εύγε 

  • Confused 1
Δημοσ.
4 λεπτά πριν, pao13 είπε

βλέπω όμως ότι και iphone έχει και σε macbook δουλεύει και osX τρέχει....   εύγε 

Μπας και μάθουν πώς φτιάχνονται σωστά βρε...

  • Like 1
Δημοσ.

Δεν υπάρχει τίποτα "πρωτάκουστο" σε αυτό exploit. Όλοι όσοι θυμόμαστε περιστατικά ασφάλειας ξέρουμε πως περίπου κάθε σύστημα ιστορικά έχει "ξευτιλιστεί" με κάποιο exploit. Από windows, linux, android.. name it..

Έτσι και αλλιώς δεν κυκλοφόρησε όπως φαίνεται in the wild και άρα είναι απλά exploit αναφοράς.

ομως έχει μία σχετική πρακτική αξία..

.. στραπατσάρει την ψευδή "αυτοπεποίθηση" πολλών αφελών χρηστών iphone που μεταξύ άλλων έχουν την ψευδαίσθηση ότι τα δικά τους συστήματα επειδή είναι "κλειστά" (κλειδωμένο λειτουργικό) είναι ασφαλή γιατί έτσι.. Τίποτα ηλεκτρονικό δεν είναι εγγυημένα ασφαλές.

Ενας διαρκής αγώνας είναι.. 

  • Like 12
Δημοσ. (επεξεργασμένο)
1 ώρα πριν, keysmith είπε

Δεν υπάρχει τίποτα "πρωτάκουστο" σε αυτό exploit. Όλοι όσοι θυμόμαστε περιστατικά ασφάλειας ξέρουμε πως περίπου κάθε σύστημα ιστορικά έχει "ξευτιλιστεί" με κάποιο exploit. Από windows, linux, android.. name it..

Έτσι και αλλιώς δεν κυκλοφόρησε όπως φαίνεται in the wild και άρα είναι απλά exploit αναφοράς.

ομως έχει μία σχετική πρακτική αξία..

.. στραπατσάρει την ψευδή "αυτοπεποίθηση" πολλών αφελών χρηστών iphone που μεταξύ άλλων έχουν την ψευδαίσθηση ότι τα δικά τους συστήματα επειδή είναι "κλειστά" (κλειδωμένο λειτουργικό) είναι ασφαλή γιατί έτσι.. Τίποτα ηλεκτρονικό δεν είναι εγγυημένα ασφαλές.

Ενας διαρκής αγώνας είναι.. 

Αναφορά σε κείμενο

Το μοναδικό κομμάτι ανησυχίας είναι, όπως σημειώνει ο Beer, πως τουλάχιστον ένας exploit seller γνώριζε για το κενό.

Αν τα Apple δεν διαφήμιζαν την απόλυτη ασφάλεια και δεν κόστιζαν παραπάνω δεν θα το συζητάγαμε ....

Οι τύποι του Project Zero κάθε λίγο ανακαλύπτουν τόσο μεγάλα κενά ασφαλείας της Apple που δεν τα έχω δει ούτε σε Android ούτε σε Windows.

Επεξ/σία από elpenor
  • Like 11
Δημοσ. (επεξεργασμένο)

Για αυτό, καλύτερα με καλώδιο η μεταφορά δεδομένων απο smartphone προς το PC.Αν δεν κάνω λάθος, το Aidrop είναι εφαρμογή με την οποία μεταφέρεις ασύρματα τα δεδομένα.Η ίδια εφαρμογή είχε παραβιαστεί στο Android.

Οσο για τις υπόλοιπες υπηρεσίες-λειτουργίες streaming κλπ, περί ορέξεως κολοκυθόπιτα.

ΥΓ:

"What happens on your iPhone stays on your iPhone"... 😎

Επεξ/σία από AntiCambeR
Δημοσ. (επεξεργασμένο)

ok ναι, ακουγομαι σαν συνωμοσιολόγος, αλλά δίνει τόσο σημαντική πρόσβαση στη συσκευή (αρχεία, εφαρμογές) και την μετατρέπει τόσο εύκολα σε συσκευή παρακολούθησης χωρίς κάποια προειδοποίηση, που περισσότερο για feature κατά παραγγελία μου ακούγεται παρά για bug

Και όσο και να διαφημίζει την ιδιωτικότητα η Apple, υπάρχουν οργανισμοί που απλά δεν σου επιτρέπεται να πεις όχι

Επεξ/σία από mike299
  • Like 3

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...