В ходе ежегодной конференции по компьютерной безопасности Black Hat исследователь Google Project Zero Натали Сильванович рассказала о возможности взлома iPhone через встроенный мессенджер iMessage. Наличие впечатляющей функциональности сервиса и служит основной проблемой в безопасности — чем больше у приложения возможностей, тем выше риск, что оно будет взломано.
За последние месяцы Apple уже успела исправить по меньшей мере шесть уязвимостей iMessage. Но многие «дыры» в безопасности сервиса так и остались открытыми. iMessage — сложная платформа, включающая интеграцию с рядом приложений, возможность добавления видео, фото, аудио, поддержку Animoji и рядом дополнительных возможностей. Каждое расширение и взаимосвязь с посторонним ПО дают хакерам больше шансов найти уязвимость.
В ходе изучения алгоритма работы сервиса Натали Сильванович нашла способ получить пользовательские данные с помощью отправки всего одного сообщения. Специально созданный текст отправляется абоненту, сервер iMessage воспринимает его как системную команду, а дальше происходит отправка запрошенных данных назад на атакующую сторону. При этом получателю даже не нужно открывать приложение.
Несколько других уязвимостей сервиса позволяют интегрировать в систему вредоносный код и, опять-таки, при помощи отправки всего одного специального сообщения через iMessage.
Решение Apple о повышении денежного вознаграждения за найденные в её программном обеспечении уязвимости вполне логично. Любая подобная «дыра» в безопасности на рынке эксплойтов стоит хороших денег. В интересах корпорации — узнать о найденной проблеме из первых уст, минимизировав последствия и оперативно закрыв уязвимость.
Сильванович подчеркнула, что искала подобные эксплойты в Android, но обнаружить их не сумела. Ранее ей удалось отыскать недостатки в работе WhatsApp, FaceTime и протоколе видеоконференций webRTC. Все ошибки, на которые указала хакер, Apple благополучно исправила. Лучшим способом защиты, по мнению программиста, остаётся постоянная установка свежих обновлений на смартфоны и ноутбуки.
Источник:
Сяоми победит!!!
(Комментарий удален)
Безопасность - говорили они
Конечно безопасная, а разве нет?
Безопасность то конечно безопасная, не спорю, но это не про софт
За август уже больше 10и уязвимостей.
Уже лет 20 стою в очереди за правдой. Захвати кофе на обратном пути, тут что-то интересное опять начинается :)
Относительно безопасная да. В сравнении с андроидом.
почему надо именно с андроидом сравнивать?
Потому что это мобильная ОС, единственный конкурент которой андроид, не?
В самой новости ссылаясь на хакера говорится, что на дроид такое не прокатит.
Именно это нет. Но есть другие дыры.
Логично, другая ос, другой софт, другие баги.
Софт разный и баги разные. Скажем так - проблема в софте в данном конкретном случае.
не конкурент а подражатель, чуть ли не пиарщик, можно сказать, есму на руку завышеные цены на айфоны
Подражатель, который вышел раньше и работает в разы лучше, ага. И написан с нуля. А ведро подражатель линукса.
вообщето я про андроид говорил, он подражатель iOS, - от линукса всё нужное обрезали
Скорее не андроид конкурент айос, а айос - конкурент андроиду
Почитай что раньше вышло. И iOS написана с нуля, а андроид просто линукс с эмулятором.
С нуля, а вхождение ее в unix так придирка...
а самое главное, куча адептов считает, что закрытая ОС = безопасная ОС)
У мамкиных хацкеров нет доступа к коду, не смогут найти дыры и воспользоваться им. А реверс инжинириг не все потянут.
А хацкер, который изучит огромный исходный код ОС, разберётся в нём, найдет уязвимость и сможет её использовать всё ещё считается мамкиным? Притом что этот исходный код доступен несчетному количеству других хакеров и они пока эту уязвимость не обнаружили или тщательно это скрывают.
Он думает, что если код открыт, то не больше дыр закроется, а наоборот - мамкин хацкер откроет код, лопаткой повазёкает и взломал, это же так просто
Закрытая ОС=больше пока ненайденных открытых дыр, Открытая ОС=больше найденых дыр, которые или закроют обновлениями, или сам с ними можешь бороться, потому что большинство уязвимостей в системе давно известны. В закрытой же ОС ты не знаешь какие дыры есть и кто и как ими может пользоваться. Хотя и не все хакеры буду о них знать, но вот спецы серьезные могут, но со серьезными спецами из спецслужб всяких Эппл и так делится инфой, им и не нужно никого взламывать. Так что закрытая система против школьников - хорошо, против служб - нет. Открытая же и против служб хорошо, если самому все уязвимости перекрыть. Пользуются же ведроидами те кто хочет скрыться, а вот айфонами никто шаряший не пользуется.
Дырами в закрытой ос никто не воспользуется, потому что просто не найдут их. А в открытой можно найти и молчать.
один промолчит, второй раскажет. Замалчивать уязвимость в открытой ОС не смогут. А вот с закрытой какраз таки возможно замалчивать что угодно.
Поэтому Эппл и платит деньги, чтобы не замалчивали и не пользовались ими сами или продавали заинтересованным лицам.
и сколько здешние мамкины хацкеры закрыли дыр или написали в баг тракер? а то все хацкерство заканчивается только прошиванием по гидам.
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
К сожалению если загрузчик разлочен то пиши пропало
взял я как то на днях ипхон се коллеги, и начал тыкать, пытаться разблокировать и тут включилась сири. Я не долго думая попросил написать смс на номер 900 с текстом мой номер и сумма. Спасло его то, что сервис 900 у него отключен в сбере. Начав гуглить, понял что о проблеме известно 2017 года. Теперь вот как то усомнился в безопасности и заботе о своих клиентах со стороны яблока
Каждую функцию сири (в тч отправку смс) можно отключить по отдельности. Более того, можно выключить доступ к сири без разблокировки. Так что впорядке с безопасностью
У него на этом моменте гугл наверное заблокировали
Если эти функции по умолчанию включены, то эта огромная дыра.
И сколько яблочников об этом знает?
Вот только это не проблема, а функция. Которая отключается в настройках.
sergeizo96,
"Айфон готов к использованию с коробки и не надо думать" @ТМ
Так и есть
Куда там до сяоми которые до сих пор решают давать ли пользователям право отключать рекламу или нет.
Реклама от Сяоми позволяет тырить деньги со счета?
)) Так и в IOS ничего не позволяет тырить деньги, если ты конечно сам не дашь право клиентбанку который ты сам поставишь управляется через Сири которую не заблокируешь.
Ну отключить рекламу в бюджетках Сяоми очень сложно))) Но если сравнивать флагманы с флагманами, то в МИ 9 нет рекламы.
Как одно связано с другим? На чужой голос Сири всё равно реагирует очень редко. Ну и как бы ты в любом случае будешь рядом.
Супер, то есть что бы у тебя не украли деньги с смартфона нижно просто быть рядом! Эврика!!!
да, только о ней узнал человек после того как у него чуть не сперли деньги. Ужасная функция. Потренируйтесь на на айфонах ваших знакомых, у большинства уверен сири включена на заблокированном экране
туфта. гипотетические сценарии, которые никогда не работают на практике
> взял я как то на днях ипхон се коллеги, и начал тыкать, пытаться разблокировать и тут включилась сири. Я не долго думая попросил написать смс на номер 900 с текстом мой номер и сумма
Что-то сомнительно. У меня даже Siri чего-то и музыку с разблокировки не включает (боится что если сопрут смартфон, то трафик выжрут?).
Раздражает.
А тут СМС целое отправляй какое хочешь кому хоченшь... Звучит бредово.
ну а попробовать самому, не? если есть айфон или хотя бы загугли
Уже побровал. Круто 😀 Отключил.
Подойдёт кто "отправь СМС жене "я тебе изменяю". И так далее.
Какой-то упорин по дефолту поставили.
В зад сяоми! На вершину Гугл и 1+
Что мешает главной задачей в семье ставить образование детей?
реклама айфона
В сравнении с тем же самсунгом и хуавеем ее практически нет. Они тоже мешают?
конечно мешают, я утрировал, правда, как всегда, но явно рекламу нужно по рейтингам разграничивать
sudo giveme:F4240
Для начала осиль новость целиком и увидишь, что в актуальной версии ОС это исправлено.
Потому что исправлено это было уже давно, до обещания денег
Надо было подождать
Взломали сканер отпечатка. Отрубили палец владельцу и разблокировали
Миссию невыполнима смотрел? Облучаешь лазерным сканером владельца, делаешь маску, одеваешь очки с изолентой и оп ля, все данные у тебя!!! Гениально и просто
Каждый день так айфоны нонейм прохожих разблокирую…
Выложили сейчас, а исправили уже месяц назад, что с тобой не так?) у ведра куча других дыр, для которых таких сложных манипуляций и не нужно.
Именно такой нет, естественно, это же разные системы, лол. Сразу видно эксперта
Все дырявое, что содержит больше миллиона строчек кода. Разница лишь в легкости взлома
Притом, что новость от начала июня, но 4пда решили написать сейчас, лучше б не позорились, все уже давно прочли.
У меня кроме жидомасонских заговоров ничего не приходит на ум по поводу таких "багов"
IOS очень костыльно сделана как видно, ее очень легко сломать нестандартными ситуациями.
да да, очень легко. настолько легко, что можете $1млн получить не парясь за найденую уязвимость. Вперед xD
Знаешь, карточный домик, стоящий в бетонной коробке, все еще легко сломать. Более чем уверен, открой яблоко свой код на подобии андроида, их же завтра и похоронили бы в списке уязвимостей
Для поиска такой дыры нужно провести реверс инжиниринг. Просто так ничего не выйдет.
Не всегда есть необходимость в реверсе. К примеру эксплойт эпохи динозавров, называется переполнение буфера, он не требовал знания как работает программа, а скорее нужно было знать как работает компьютер.
Это сделано чтобы комментаторы открыли этот пост, ну и не только этот пост
Галвное яблочники как всегда все по делу отписали. В отличии от ведроводов без аргументации ;P
Все все понимают. Если не было бы хйтеров, было бы куда скучнее.
может стоит писать как-то поадекватней?
Перестанут читать.
Фигасе бесплатная проверка, слили данные, да за это по судам потаскать можно 😜
«Сразу нормальную поставить», удачи тебе написать с первого раза идеальный софт, без косяков и дыр в безопасности.
Пля,ну не такие же косяки,чтоб взломать с полщечка.
Вы уже взломали? И как? Щелчек не сломался у вас?
Yes.Vsе vzlomano.
С 2007-го все ближе и ближе
Да. Гнилыми яблоками
Нормальное такое вознаграждение!)))
Еще бы!
Смс и iMessages немного разные вещи.
Вы новость то хоть дочитали?) мне кажется только название. Но обязательно надо зайти и вставить свои 5 копеек.
Iphone в Китае делают, если что.
О да, таких историй ходит по инету, про знакомого работающего в салоне сотовой связи или мастерской по ремонту, к которому приносили кучу андроидов с вирусными порно баннерами и ни одного айфона.
Да первым делом, человек сбросит настройки на смарте до заводских и все дела, а не станет краснея нести его вашему знакмому мастеру. И почему это только мужики приносят? У меня подруга, если бы не лазила где не надо...., Винду годами могла бы не переставлять.
мне все равно что вы думаете, я говорю факты основанные на статистике. Ты думаешь мужики так и говорят, что мол лазил не там где надо? Нет, они сочиняют всякую муйню и в конце это выглядит типа как "я никуда не нажимал оно само" По поводу сбросить настройки: тут бытует мнение, что пользователи айфон тупые как пробки о каком сбросе идет речь
Сбросить настройки на андроид телефоне, тут же рассказ не о iPhone заразившихся