Μετά από μια σοβαρή ευπάθεια mail, εμφανίστηκε μια νέα ευπάθεια zero-day σε iOS και iPadOS. Η Apple αγωνίζεται να εξαφανίσει και πάλι ένα λειτουργικό σφάλμα και αυτό επηρεάζει την τελευταία έκδοση iOS 13.4.1. Το σφάλμα εντοπίστηκε από έναν Ελβετό χάκερ με το ψευδώνυμο “Siguza”.
Θέμα σοβαρά και πάλι για το iPhone
Όπως εξηγείται μέσω ενός κειμένου στο GitHub από τον χρήση Siguza, τα προσωπικά δεδομένα των χρηστών μπορούν να παραβιαστούν λόγω ενός σφάλματος στην ανάγνωση αρχείων XML. Επιτρέπει στους χάκερς να παρακάμπτουν ορισμένους ελέγχους ασφαλείας πριν από τη δημοσίευση στο App Store. Αυτό επιτρέπει στις εφαρμογές να έχουν απεριόριστα δικαιώματα.
Αυτό επιτρέπει στους εισβολείς του κυβερνοχώρου να πραγματοποιούν κάθε πιθανό τύπο επίθεσης.
Ωστόσο, όπως γράφει ο “Siguza”, το σφάλμα θα εξαλειφθεί με την επερχόμενη ενημέρωση του iOS 13.5. Πρόσθεσε επίσης ότι: “Όσον αφορά τις 0zero-days, δεν θα μπορούσα να ευχόμουν κάτι καλύτερο. Αυτό το ενιαίο σφάλμα με βοήθησε σε δεκάδες ερευνητικά έργα, χρησιμοποιήθηκε χιλιάδες φορές κάθε χρόνο και πιθανώς με έσωσε από πολλές ώρες δουλειάς. Το πλεονέκτημα για αυτό είναι κατά πάσα πιθανότητα το πιο αξιόπιστο, καθαρό και κομψό που θα γράψω ποτέ σε όλη μου τη ζωή. Και ταιριάζει ακόμη και σε ένα tweet !!
Πάνω από 3 χρόνια από τότε που η ανακάλυψη δεν είναι κακή για ένα τέτοιο σφάλμα, αλλά σίγουρα θα μου άρεσε πολύ να το κρατήσω άλλη μια δεκαετία, και ξέρω ότι θα μου λείπει πολύ την επόμενη στιγμή.
Σφάλματα όπως αυτά είναι ίσως από τα πιο δύσκολο να εντοπιστούν και δεν έχω πραγματικά καμία ιδέα για το πώς στο καλό θα ήταν σε θέση να το βρείτε, ενώ τόσοι άλλοι δεν το έκαναν.
Όλο το έργο είναι διαθέσιμο στο GitHub.
[via]