Ευάλωτα σε επίθεση από zero-day ευπάθειες για πάνω από 2 χρόνια, τα iPhone με iOS πριν την 12.1.4

[nnn]

Ερευνητές του Google Project Zero, εντόπισαν τον περασμένο Φεβρουάριο, μια μικρή ομάδα παραβιασμένων sites, τα οποία εκμεταλλευόντουσαν ευπάθειες zero-day του iOS για πάνω από 2 χρόνια, με σκοπό να υποκλέψουν ευαίσθητα δεδομένα από τα iPhone των θυμάτων τους. Αρκούσε η επίσκεψη σε κάποιο από αυτά, για να παραβιαστεί η συσκευή.

Η ομάδα της Google, εντόπισε συνολικά 14 ευπάθειες στο IOS (εκδόσεις 10 -12) - στόχοι των μολυσμένων sites- και ενημέρωσε τον Φεβρουάριο την Apple, δίνοντας της μόλις 7 ημέρες για να τις κλείσει. Οι ευπάθειες έκλεισαν με την αναβάθμιση 12.1.4 του iOS.

Motherboard notes that the attack could have allowed the sites to install an implant with access to an iPhone’s keychain. This would have given the attackers access to any credentials or certificates contained within it, and could also allow them to access the databases of seemingly secure messaging apps like WhatsApp and iMessage. Despite these apps using end-to-end encryption for the transfer of messages, if an end device was compromised by this attack, then an attacker could access previously encrypted messages in plain text.

Πηγή : The Verge

[tsigarid]

Για την ιστορία:

iOS 12.1.4 was released on February 7, 2019

Off Topic

nnn, έχει μερικά τυπογραφικά ο τίτλος και το άρθρο, για ρίξε του μία δεύτερη ανάγνωση.

[nnn]

Για την ιστορία:

Off Topic

nnn, έχει μερικά τυπογραφικά ο τίτλος και το άρθρο, για ρίξε του μία δεύτερη ανάγνωση.

Στο σχολείο μας το έμαθαν ευάλλωτα

- - - Updated - - -

14 zero-day exploits που ήταν ανοικτά για πάνω από 2 χρόνια. Κάποιοι τα εκμεταλλέυτηκαν μια χαρά.

[BlueChris]

Προσπαθώ να πείσω τη γυναίκα μου να πετάξει ένα 4s που της το πήρα όταν βγήκε και μάταια. Το ρημαδι συνεχίζει να λειτουργεί από το 2011 που της το πήρα αλλά δεν παίρνει το τελευταίο ios οπότε θα της δείξω το πρωτότυπο νήμα να πειστεί.

[Nozomi]

Προσπαθώ να πείσω τη γυναίκα μου να πετάξει ένα 4s που της το πήρα όταν βγήκε και μάταια. Το ρημαδι συνεχίζει να λειτουργεί από το 2011 που της το πήρα αλλά δεν παίρνει το τελευταίο ios οπότε θα της δείξω το πρωτότυπο νήμα να πειστεί.

Εδώ το ερώτημα που προκύπτει είναι ποιός κρατάει συσκευή Android του 2011...

[emeliss]

Προσπαθώ να πείσω τη γυναίκα μου να πετάξει ένα 4s που της το πήρα όταν βγήκε και μάταια. Το ρημαδι συνεχίζει να λειτουργεί από το 2011 που της το πήρα αλλά δεν παίρνει το τελευταίο ios οπότε θα της δείξω το πρωτότυπο νήμα να πειστεί.

iOS 9 θα τρέχει. Η τρύπα αφορά από το 10 έως το 12.

[aiolos.01]

Zero day ανοιχτά για 2 χρόνια. Μια χαρά...
Να τα βλέπουν οι "το ios είναι ασφαλές" τύποι. Όλα έχουν τα προβλήματα τους και χρειάζονται προσοχή.

Εδώ το ερώτημα που προκύπτει είναι ποιός κρατάει συσκευή Android του 2011...

Αν και πολύ παλιό υπάρχει η πιθανότητα αν είναι δημοφιλής συσκευή να παίρνει ακόμα security updates απο κάποιον μερακλή. Τα μηλόφωνα αντιθέτως....

[netblues]

Προσπαθώ να πείσω τη γυναίκα μου να πετάξει ένα 4s που της το πήρα όταν βγήκε και μάταια. Το ρημαδι συνεχίζει να λειτουργεί από το 2011 που της το πήρα αλλά δεν παίρνει το τελευταίο ios οπότε θα της δείξω το πρωτότυπο νήμα να πειστεί.

Αν πειστει επειδη θα της δειξεις το thread, την ανταλλαζω με τη δικια μου. (+ λεφτα για τη διαφορα)

Το κακο με τις unpatched/ τρουπιες συσκευες ειναι οτι πρακτικα καταληγουν στα χερια παντελως ασχετων, (καθως τις ξεφορτωνονται αυτοι που καταλαβαινουν πεντε πραγματα.) Και εκει γινεται παρτυ (ειδικα αφου κατεβασουν και οτι παιχνιδι/παπαριτσα βρουν μπροστα τους.)

[aroutis]

Εδώ το ερώτημα που προκύπτει είναι ποιός κρατάει συσκευή Android του 2011...

Τι εννοεις ;
Τα iPhones παίρνουν updates για 5 χρόνια κλπ κλπ κλπ. Πολλοί τα κρατάνε για πολλά χρόνια.

Ορίστε λοιπόν, ότακ κάποιοι λέμε ότι αυτό που έχει πραγματική σημασία ειναι τα security updates, κάτι τέτοια εννοούμε.

Αν και πολύ παλιό υπάρχει η πιθανότητα αν είναι δημοφιλής συσκευή να παίρνει ακόμα security updates απο κάποιον μερακλή. Τα μηλόφωνα αντιθέτως....

Ετσι...

[Zus]

Εδώ το ερώτημα που προκύπτει είναι ποιός κρατάει συσκευή Android του 2011...

Εδώ το ερώτημα που προκύπτει είναι γιατί σε thread που αφορά το σουρωτήρι iOS εσύ αναφέρεσαι στο Android.

[globalnoise]

Μόνο το ένα από αυτά ήταν ανοιχτό κάτα το disclosure. Τα άλλα είχαν γίνει fix - με αναλυτική εξήγηση για φύση της ύπαρξη τους (τα χρησιμοποιούσαν για να πιάσουν ότι πιάσουν από το διάστημα του commit μέχρι το release του patch)

Αναρωτιέμαι πως φτάσαμε σε τέτοια θέματα η αναπαραγωγή ειδήσεων να θυμίζει κουτσομπολίστικα περιοδικά

Δεν διαβάζει αναλυτικά κανείς τίποτα, η αναπαραγωγή από τις επίσημες πηγές γίνεται με αναπροσαρμογή σε αυτό που πουλάει, η 2η αναπαραγωγή γίνεται με ακόμη μεγαλύτερες ανακρίβειες και βαρύγδουπους τίτλους

[uncharted]

Μόνο το ένα από αυτά ήταν ανοιχτό κάτα το disclosure. Τα άλλα είχαν γίνει fix - με αναλυτική εξήγηση για φύση της ύπαρξη τους (τα χρησιμοποιούσαν για να πιάσουν ότι πιάσουν από το διάστημα του commit μέχρι το release του patch)

Αναρωτιέμαι πως φτάσαμε σε τέτοια θέματα η αναπαραγωγή ειδήσεων να θυμίζει κουτσομπολίστικα περιοδικά

Δεν διαβάζει αναλυτικά κανείς τίποτα, η αναπαραγωγή από τις επίσημες πηγές γίνεται με αναπροσαρμογή σε αυτό που πουλάει, η 2η αναπαραγωγή γίνεται με ακόμη μεγαλύτερες ανακρίβειες και βαρύγδουπους τίτλους

User engagement/clicks/hits... είναι γενικό το φαινόμενο παντού.

[nnn]

Το αν το θέμα είναι κουτσομπολίστικο, το αφήνω ασχολίαστο. Άγνοα και παρωπίδες δεν σε κάνουν ασφαλή όσο νομίζεις.

2 ήταν 0-day μέχρι την 12.1.4

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Όποιος θέλει ανάλυση και όχι "βαρύγδουπους τίτλους" ας διαβάσει εδώ
https://googleprojectzero.blogspot.com/

Για μήνες κάθε φορά υπήρχαν ενεργά exploits που στόχευαν χρήστες iOS. Τα υπόλοιπα είναι για φανμπόις.

[Symos]

Στα πόσα χρόνια σταματάει να είναι "zero day" ρε παιδιά;

[Hetfield]

Αν και πολύ παλιό υπάρχει η πιθανότητα αν είναι δημοφιλής συσκευή να παίρνει ακόμα security updates απο κάποιον μερακλή. Τα μηλόφωνα αντιθέτως....

Ναι, με μερικες χιλιαδες bugs να το συνοδευουν