Un cercetator in domeniul securitatii acuza Apple ca nu a rezolvat un bug care poate fi folosit ca ransomware pe un iPhone
|

Un cercetator in domeniul securitatii acuza Apple ca nu a rezolvat un bug care poate fi folosit ca ransomware pe un iPhone

Nu a fost mentionat in mass-media, dar un bug raportat initial catre Apple pe 10 august anul trecut este inca prezent in iOS 15.2. Bug-ul a fost testat pe unitati iPhone care ruleaza iOS 14.7 pana la cea mai recenta versiune de iOS. Cercetatorul de securitate Trevor Spiniolas, care a raportat bug-ul la Apple, spune ca este probabil ca telefoanele care ruleaza toate versiunile de iOS 14 sa il aiba, desi testele sale au inceput cu iOS 14.7.

Utilizatorii de iPhone de la Apple pot fi santajati de atacatori

Postarea de pe blogul lui Spiniolas, numita doorLock, explica faptul ca, atunci cand un utilizator de iPhone (care ruleaza versiunile specifice de iOS citate anterior) schimba numele unui dispozitiv HomeKit cu unul cu 500.000 sau mai multe caractere si se conecteaza din nou la contul iCloud utilizat cu acel dispozitiv HomeKit, pot aparea doua lucruri.

Fara niciun dispozitiv Home activat in Centrul de control, aplicatia Home se va bloca imediat ce este deschisa, facand imposibila utilizarea acesteia. Repornirea sau restaurarea telefonului nu va fi de ajutor, deoarece, odata conectata la acelasi cont iCloud, aplicatia Home va continua cu acelasi comportament. Acum, daca utilizatorul are un dispozitiv Home activat in Centrul de control, iOS devine insensibil si va intra in bucla cu o „repornire ocazionala”.

si pentru a inrautati lucrurile, actorii rai pot profita de aceasta situatie. Spiniolas scrie: „Aplicatiile cu acces la datele Home ale proprietarilor de dispozitive HomeKit ii pot bloca pe acestia din urma din datele lor locale si ii pot impiedica sa se conecteze din nou la iCloud pe iOS, in functie de versiunea iOS. Un atacator ar putea, de asemenea, sa trimita invitatii prin e-mail la un Home care contine datele malitioase utilizatorilor de pe oricare dintre versiunile de iOS descrise…”

Iar acest lucru poate fi exploatat din motive financiare. Atacatorul ar putea trimite un e-mail de la o adresa similara cu cea a serviciilor Apple sau a unui produs HomeKit, in incercarea de a determina un utilizator de iPhone sa accepte invitatia si sa ceara o plata pentru a remedia problema. Acest lucru ar putea avea loc chiar daca utilizatorul iPhone nu detine un produs HomeKit.

Dupa cum am mentionat in partea de sus a acestui articol, Apple a fost deja informata despre acest bug, iar cercetatorul critica Apple pentru „lipsa de transparenta” care „reprezinta un risc pentru milioanele de oameni care folosesc produsele Apple in viata de zi cu zi, reducand responsabilitatea Apple in materie de securitate”. El spune ca Apple ar fi trebuit sa remedieze acest bug inainte de sfarsitul anului trecut, dar, in schimb, va emite un patch la inceputul acestui an.

Se asteapta ca Apple sa emita o actualizare la inceputul acestui an

Spiniolas spune ca „Nu a fost identificata o metoda fiabila de a recastiga accesul la datele locale dupa declansarea bug-ului”. Cu toate acestea, restaurarea iPhone-ului si conectarea la un nou iCloud este posibila daca s-ar urma aceste indicatii postate de cercetatorul in domeniul securitatii:

  • Restaurati iPhone-ul afectat din Recovery sau DFU Mode.
  • Configurati dispozitivul asa cum ati face-o in mod normal, dar abtineti-va sa va conectati din nou la contul iCloud.
  • Dupa ce configurarea este finalizata, intrati in iCloud din setari. Imediat ce faceti acest lucru, dezactivati comutatorul denumit „Home”.

Telefonul afectat si iCloud ar trebui sa functioneze acum fara acces la datele Home. Daca aveti nevoie de acces la datele Home si puteti instala aplicatia de testare cu Xcode, urmati cei trei pasi postati mai sus si adaugati urmatoarele:

  • Apasati butonul inapoi si apoi apasati din nou Setari Control Center, ceea ce va reincarca pagina reincarcati pagina.
  • Continuati sa faceti acest lucru pana cand este vizibila o setare intitulata „Show Home Controls” (Afisati controalele Home). Dezactivati imediat aceasta setare.
  • Instalati aplicatia de testare si rulati-o folosind un sir scurt care va schimba numele tuturor dispozitivelor Home asociate.

Spiniolas isi da cu parerea afirmand ca „Acest bug reprezinta un risc semnificativ pentru datele utilizatorilor de iOS, dar publicul se poate proteja de cele mai grave efecte ale sale prin dezactivarea dispozitivelor Home in centrul de control pentru a proteja datele locale. in ceea ce priveste constientizarea problemei de catre Apple, am considerat ca raspunsul lor este insuficient. in ciuda faptului ca au confirmat problema de securitate si ca i-am indemnat de mai multe ori in ultimele patru luni sa ia problema in serios, nu s-a facut mare lucru.”

Similar Posts

Lasă un răspuns

Adresa ta de email nu va fi publicată.