올해 초 Apple은 잠재적으로 해커가 근처에 원격으로 액세스할 수 있는 iOS 취약점을 패치했습니다. 아이폰 전체 장치를 제어할 수 있습니다.
Google의 취약점 연구 팀인 Project Zero의 연구원인 Ian Beer가 고안한 이 익스플로잇은 AirDrop 및 사이드카 일하다.
Beer는 화요일에 놀라운 익스플로잇을 공개했습니다. 30,000단어 블로그 게시물 , AWDL의 메모리 손상 버그가 어떻게 공격자가 이메일, 사진, 메시지, 암호 및 키체인에 저장된 암호 키를 포함한 사용자 개인 데이터에 대한 원격 액세스를 제공할 수 있는지 자세히 보여줍니다.
이 취약점은 2018 iOS 베타에서 Beer에 의해 발견되었으며 Apple은 실수로 커널 캐시에서 함수 이름 기호를 제거하지 않고 출하하여 코드 비트가 서로 어떻게 맞는지에 대한 누락된 컨텍스트를 풍부하게 제공합니다.
페이스타임이 사용하는 데이터의 양
오랜 조사 끝에 Beer는 AWDL과 관련된 코드를 찾고 취약점을 식별하고 랩톱, Raspberry Pi 4B 및 몇 가지 Wi-Fi 어댑터를 사용하여 원격으로 대상을 지정할 수 있었습니다.
은행에 애플 캐쉬를 받는 방법
Beer가 익스플로잇을 개발하는 데 6개월이 걸렸지만 완료될 즈음에는 모든 iPhone 무선으로 접근하고 임의의 코드를 실행하고 모든 사용자 데이터를 훔칩니다.
Beer는 자신이 발견한 문제가 야생에서 악용되었다는 증거는 없지만 '우리는 악용 공급업체가 이러한 수정 사항에 주목하는 것 같다는 것을 알고 있습니다.'라고 말했습니다.
이 프로젝트의 요점은 다음과 같습니다. 아무도 내 전화기를 해킹하기 위해 6개월을 보내지 않을 것입니다. 저는 괜찮습니다.
에어팟이 언제 충전되는지 확인하는 방법대신 침실에서 혼자 일하는 한 사람이 밀접하게 접촉하는 iPhone 사용자를 심각하게 손상시킬 수 있는 기능을 구축할 수 있어야 합니다.
그러한 능력을 가진 공격자가 느껴야 할 힘을 상상해 보십시오. 우리 모두가 이러한 장치에 점점 더 많은 영혼을 쏟아 부으면서 공격자는 순진한 대상에 대한 정보의 보고를 얻을 수 있습니다.
Apple은 5월에 iOS 12.4.7 및 iOS 13.3.1 릴리스와 함께 취약점을 패치했으며 실제로 Beer를 인용했습니다. 변경 로그 여러 보안 업데이트를 위해. Apple은 대다수의 사용자가 이미 패치된 최신 iOS 버전을 사용하고 있다고 말했습니다.
인기 게시물