Владельцам iPhone и iPad настоятельно рекомендуется обновить свои платформы до iOS 9, поскольку, помимо различных улучшений и полезных функций, в ней исправлена уязвимость, которая позволяет хакерам без ведома пользователей устанавливать на их устройства вредоносные программы.
Брешь затрагивает функцию беспроводного обмена файлами AirDrop в iOS 7 и более поздних версиях, а также в Mac OS X до версии El Capitan 10.11.
Уязвимость была обнаружена австралийским исследователем Марком Доудом, который сообщил Apple о своей находке в прошлом месяце. С помощью этой бреши хакер может проникнуть в раздел операционной системы, доступа к которому у него быть не должно, и заставить устройство «думать», будто загруженное им вредоносное приложение является легитимным. Доуду даже удалось обмануть домашний экран (Springboard) и заменить приложение Телефон своей вредоносной программой.
Ниже представлено видео, в котором исследователь демонстрирует, как можно проэксплуатировать эту уязвимость.
Подобную атаку легко осуществить в общественном месте, например, в кафе или торговом центре, где злоумышленник может подобраться к владельцу iPhone достаточно близко и попасть в зону действия функции AirDrop. Для эксплуатации уязвимости участие самого пользователя не требуется. Попав на устройство, вредоносное приложение остается в режиме ожидания до тех пор, пока iPhone не будет перезагружен.
Настройки AirDrop позволяют выбирать, от кого iOS разрешено получать файлы – ото всех или только от пользователей из списка контактов. Поскольку по умолчанию настройки AirDrop позволяют принимать файлы только от тех, кто указан в списке контактов, круг потенциальных взломщиков существенно сужается. Возможность атаки сводится на нет при отключенном Bluetooth и Wi-Fi.
Смотрите также: