Компания Apple работает над экстренным исправлением уязвимости, обнаруженной на днях во всех семействах смартфонов iPhone. Эксплуатируя данную уязвимость, злоумышленник может удаленно установить и запустить неподписанное программное обеспечение, которое получит полный доступ в смартфону и всем данным на нем. По словам представителей компании SyScan, обнаружившей уязвимость, точный алгоритм атаки до выхода исправления не публикуется, однако известно, что для проведения атаки, хакеру необходимо всего лишь отправить SMS-сообщение, содержащее специальную последовательность символов, которую iPhone обработает и станет жертвой злоумышленников. При помощи того же SMS-сообщения в последствии злоумышленник может осуществить запуск установленного приложения. Между тем, установленное в фоновом режиме приложение способно, к примеру, подключаться к GPS-системе и незаметно отслеживать местоположение владельца смартфона, активировать микрофон и подслушивать разговоры владельца аппарата, делать несанкционированные звонки и еще много чего. В SyScan говорят, что хранить в тайне точные сведения об уязвимости их обязывает соглашение с Apple, однако в компании обещают выпустить исправление до конца июля. "Несмотря на то, что в целом мобильную версию системы мы оцениваем как более безопасную чем настольную MacOS, так как здесь не поддерживается Flash или Java, а также есть лимиты на запуск сторонних приложений, на практике оказывается, что SMS - это отличный вектор для атак", - говорит Чарльз Миллер, эксперт по безопасности Syscan. По его словам, обычные приложения на iPhone выполняются в так называемой "песочнице" - изолированной среде, которая не позволяет приложению выйти за установленные лимиты и навредить всей системе или другим программам, но за счет того, что SMS обрабатываются самой ОС, они имеют более широкие привилегии.
Источник