Двое специалистов-пентестеров из Google Project Zero, Натали Сильванович и Сэмюэль Гросс, обнаружили шесть уязвимостей в операционной системе Apple iOS, и одна из них пока еще не закрыта. А еще пять ошибок были закрыты неделю назад в обновлении iOS 12.4.
Все обнаруженные уязвимости могут использоваться без ведома пользователя. Они работают через баг в программе iMessage. Четыре уязвимости (включая еще незакрытую уязвимость) позволяют любому желающему отправить на телефон сообщение с вредоносным кодом, который будет запущен, как только пользователь откроет сообщение. Оставшиеся два эксплоита используют уязвимости памяти.
Эти уязвимости могут причинить ущерб на миллионы долларов.
Подробная информация о пяти исправленных ошибках уже опубликована в Сети, но последняя ошибка не раскрывается, пока Apple её не закроет. В любом случае, если вы еще не обновили свой iPhone до iOS 12.4, то самое время это сделать. Через неделю Сильванович выступит с докладом об взломе iPhone на конференции по безопасности Black Hat в Лас-Вегасе.
Хорошо, что эти уязвимости нашли специалисты по безопасности, а не хакеры, которые наверняка использовали бы их в своих интересах. Информация об ошибках всегда востребована у разработчиков программ для взлома и слежки. Заинтересованный покупатель может заплатить приличные деньги за такой софт, а Apple могла еще долго не знать о дырах в безопасности. Поделившись информацией об ошибках, специалисты Google оказали услугу пользователям iOS по всему миру.