Súlyos biztonsági hibát találtak az Apple-nél, több iPhone-generációt is érint

Az egyik egyik vezető független kiberbiztonsági kutatóintézet, a Paradigm Shift kutatói egy átfogó jelentést tettek közzé, amely részletesen bemutatnak az Apple egyes eszközeiben rejlő biztonsági hibát. A biztonsági probléma az USB-vel és az Apple saját tervezésű, ARM-alapú rendszerchipjeivel van kapcsolatban, és „usbliter8” nevet kapta a felfedezőitől. iPhone készülékeket, iPadeket és más eszközt is érint a hiba. Az usbliter8 biztonsági rés minden olyan eszközt érint, amely A12, A13, S4 és S5 chipeken fut. Ez az A most felfedezett sebezhetőség az USB-re jellemző hardverhiba és az eszköz firmware-jének egy konkrét konfigurációs hibája köré épül, ami miatt a feltárt sebezhetőséget nem lehet javítani. Ez eddig kifejezetten félelmetesnek tűnik, de a jó hír az, hogy a lehetséges támadóknak birtokolniouk kell az adott eszközt ahhoz, hogy kihasználhassák a biztonsági hibát. A biztonsági rég DFU módban tud aktiválódni. A DFU (Device Firmware Update) mód lehetővé teszi az iPhone számára, hogy a legalapvetőbb hardveres szinten kommunikáljon a számítógépen futó iTunes-szal vagy Finderrel. Általában végső megoldásként használják ezt elfelejtett jelszó vagy egyéb problémák esetén, rendszervisszállításhoz. A biztonsági rés miatt DFU módban USB-n keresztül speciális adatokat lehet elküldeni a készülékre, ami megzavarja az USB-vezérlőt, és arra kényszeríti, hogy az adatokat a memória rossz részébe írja, így gyakorlatilag még az iOS indulása előtt be lehet juttatni egy egyedi kódot. Így megkerülhetők az aláírás-ellenőrzések, futtathatók módosított rendszerprogramok stb. Szerencsére a sebezhetőség nem érinti a készülék Security Enclave-jét, ahol a titkosított adatokat – például a jelszavakat és egyéb érzékeny felhasználói adatokat – tárol az eszköz. Nincs megoldás, de mivel rendelkeznie kell a rosszindulú támadóknak a készülékekkel, hogy gonoszkodhassanak, nincs nagy dráma sem. A leghatékonyabb módszer az adatbiztonságra, hogy ne veszítsük el az eszközeinket, ne lopják el tőlünk. Érdekes módon a hiba nem érinti például az A11-es processzorral működő régebbi készülékeket.