Jeden z výzkumníku v rámci Google Project Zero zveřejnil chybu, skrze kterou bylo možné napadnout cizí iPhone a získat z něj data. Chyba byla v protokolu, který zařízení používá k bezdrátové komunikaci. Ke zveřejnění došlo teď, když už byla chyba bezpečně opravena.
Aktuální odhalení chyby je tak spíše jen pro ukázku, že podobné chyby se nevyhýbají žádnému produktu a ani iPhone není výjimkou. Zajímavá je také tím, že pro napadení zařízení nebyl nutný žádný fyzický přístup, ani speciální nastavení. Pokud ale iPhone používáte, nemusíte se bát – Apple chybu opravil již v květnu a nyní se tak o ní dozvídáme až v momentě, kdy by měla být na všech zařízeních opravená prostřednictvím systémové aktualizace.
To je ostatně standardní postup v případě nalezení takovýchto chyb od různých výzkumníků, kdy dají výrobci dostatek času na opravu chyby. Zde Ian Beer přišel na to, jak využít protokol Apple Wireless Direct Link (AWDL), který napříč zařízeními od Applu vytváří meshovou síť a umožňuje vzájemnou komunikaci a snadné posílání třeba souborů. To využívá například funkce AIrDrop a další.
K odhalení chyby bylo zapotřebí půlročního snažení, nebylo ale nutné získat jakékoliv vyloženě speciální zařízení a čistě teoreticky tak mohl chybu zneužít kdokoliv. Naštěstí ale nejsou žádné informace o tom, že by byla tato zranitelnost někdy využita.
Po úspěšném napojení na telefon bylo možné jej restartovat, či získat například naposledy vyfocené fotografie, číst e-maily či využít kameru a sledovat tak okolí telefonu. Na napadeném zařízení přitom nešlo nic rozpoznat a chovalo se naprosto standardně. Samotná chyba je tak poměrně závažná a připomíná akční filmy, kdy se hrdinové/padouši napojí na cizí zařízení na dálku, aby s ním prováděli co se jim zlíbí.
Podobně závažná chyba byla naposledy nalezena v Chromu a Windows, i zde jsme se ale již dočkali oprav. Nejednalo se ale o osamocené případy – v listopadu bylo na čínské soutěži hackerů odhaleno mnoho chyb napříč všemi oblíbenými produkty. Jako vždy se tak ukazuje důležitost pravidelné aktualizace zařízení. A také toho počítat s tím, že nic není 100% bezpečné.
Zdroj: The Verge