iOS 13.4.1 Zero-day ευπάθεια απειλεί τα δεδομένα σας
Αρχίζει να μην μας τα λέει καλά η Apple και δικαίως κάποιοι αρχίζουν να ανησυχούνε για την ασφάλεια τους με τις τελευταίες εκδόσεις του iOS.
Μετά από τη σοβαρή Zero-day ευπάθεια στην εφαρμογή αλληλογραφίας η οποία εντοπίστηκε πριν μερικές εβδομάδες τα νερά έρχεται να ταράξει ακόμα μία εξίσου απειλητική ευπάθεια στο iOS 13.4.1.
Ο Ελβετός χάκερ με το ψευδώνυμο «Siguza» ανακάλυψε μία Zero-day στην τελευταία έκδοση του iOS 13.4.1.
Όπως εξηγεί ο«Siguza» σε μία μακροσκελή αναφορά του στο GitHub, τα προσωπικά δεδομένα των χρηστών μπορούν εύκολα να παραβιαστούν λόγω ενός σφάλματος στην εφαρμογή ανάγνωσης αρχείων XML (XML parser), καθώς το συγκεκριμένο bug επιτρέπει στους χάκερ να παρακάμπτουν ορισμένους ελέγχους ασφαλείας πριν από τη δημοσίευση μίας εφαρμογής στο App Store, με αποτέλεσμα οι εφαρμογές να έχουν απεριόριστα δικαιώματα.
Ωστόσο, σημειώνει ότι το σφάλμα θα εξαλειφθεί με την επερχόμενη ενημέρωση του iOS 13.5. προσθέτοντας:
Όσον αφορά τις πρώτες 0 ημέρες, δεν θα μπορούσα να ευχόμουν κάτι καλύτερο. Αυτό το σφάλμα με βοήθησε σε δεκάδες ερευνητικά έργα, χρησιμοποιήθηκε χιλιάδες φορές και με γλίτωσε από πολλές ώρες επίπονης εργασίας και πρόκειται για το πιο αξιόπιστο, καθαρό και κομψό που έχω γράψει ποτέ σε όλη μου τη ζωή. Και ταιριάζει ακόμη και σε ένα tweet !!
Πάνε πάνω από 3 χρόνια από τότε που το ανακάλυψα και σίγουρα θα μου άρεσε πολύ να το κρατήσω άλλη μια δεκαετία, ξέρω ότι θα μου λείψει πολύ από την επόμενη στιγμή.
Μπορούμε επίσης να αναρωτηθούμε γιατί να υπάρχει ένα τέτοιο σφάλμα. Γιατί να υπάρχουν 4 διαφορετικοί XML parsers στο iOS. Γιατί εξακολουθούμε να χρησιμοποιούμε ακόμη και XML.
Όλη η ιστορία δείχνει ότι μπορεί να είναι καλή ιδέα να αναρωτιόμαστε περιοδικά αν πραγματικά χρειάζονται όλα αυτά, ωστόσο πραγματικά δεν μπορώ να κατηγορήσω την Apple γιατί σφάλματα όπως αυτά είναι ίσως από τα πιο δύσκολα στο να εντοπιστούν.
Ακόμα και τη στιγμή που μιλάμε το bug υφίσταται ακόμα και στις τελευταίες non-beta εκδόσεις του iOS. Μπορείτε να δείτε περισσότερα για όλο το έργο στο GitHub.
[Via]