Le 22 juillet, Apple a
publié une mise à jour de la version 12.4 du système d'exploitation iOS, qui a corrigé trois vulnérabilités graves découvertes par une experte de l'équipe Google Project Zero Natalie Silvanovich. Le plus dangereux (CVE-2019-8646) vous permet de voler des données d'un appareil distant sans intervention de l'utilisateur. Il est théoriquement possible d'enregistrer des informations arbitraires, mais l'ampleur réelle des dommages potentiels pour les propriétaires de smartphones et tablettes vulnérables n'a pas encore été entièrement étudiée.
Il y a encore peu d'informations sur d'autres vulnérabilités, on sait seulement que l'une d'entre elles (CVE-2019-8647) peut provoquer le crash du module SpringBoard, qui est responsable du rendu de l'écran d'accueil des appareils iOS.
Silvanovich a
publié la preuve de concept pour CVE-2019-8646, qui implémente un scénario d'opération typique: un message préparé dans iMessage, au cours duquel des données sont envoyées au serveur de l'attaquant, qui ne devraient pas y être envoyées. Examinons cette vulnérabilité de plus près et parlons en même temps du facteur humain dans le traitement des messages vocaux pour Siri et les autres assistants vocaux.
La divulgation des données de vulnérabilité est un cas assez intéressant lorsque les représentants des médias doivent comprendre la description technique du problème. Toutes les publications sont basées sur trois rapports de vulnérabilité dans le tracker de l'équipe Google Project Zero:
il y a des informations sur la vulnérabilité la plus dangereuse (fuite de données), dit-il sur le crash de Springboard,
ici sur une autre erreur de corruption de mémoire, avec des conséquences inconnues (ou sans elles) - l'exploitation pratique de cette vulnérabilité est difficile). Les informations sur un autre bogue (CVE-2019-8641) n'ont pas encore été divulguées, car le correctif publié par Apple était inefficace.
Les vulnérabilités ne sont affectées que par les téléphones basés sur la dernière version d'iOS 12. Dans les publications médiatiques avec divers degrés de détail, des formulations plutôt prudentes sur les détails techniques du rapport de bogue d'origine sont citées, et pour l'utilisateur moyen, la situation semble étrange: le
niveau de drame n'est pas clair . Très probablement, plus de détails seront révélés lors de la présentation de l'équipe Google Project Zero, prévue cette semaine lors de la conférence BlackHat. Cependant, un autre chercheur a pris PoC Silvanovich et a
enregistré une vidéo de son travail:
Pour simplifier la description, voici ce qui se passe: un message iMessage préparé contenant une URL est envoyé à l'utilisateur. Le client iMessage sur le téléphone tente de traiter automatiquement ce message. Dans certains cas, l'adresse est envoyée. Une erreur dans le gestionnaire conduit à une détermination incorrecte du nombre de caractères dans l'URL. Par conséquent, lorsque l'appel se produit, le contenu du bloc de mémoire voisin est ajouté à l'adresse d'origine en tant que paramètre. Le serveur de l'attaquant n'a besoin que d'enregistrer l'appel et de décoder les données. La gamme complète des informations pouvant être volées de cette manière n'a pas encore été déterminée avec précision: l'archive des messages iMessage et les données binaires sont mentionnées. La vidéo ci-dessus montre un exemple d'une attaque contre le module SpringBoard, qui entraîne une fuite de l'image précédemment vue par le propriétaire de l'appareil.
Bien que toutes les conséquences de l'exploitation de ce problème n'aient pas encore été étudiées, les
commentaires de certains
représentants de l' industrie se résument au fait que l'attitude envers la sécurité de l'iPhone doit être revue. Nous ne pensons pas que ce soit une bonne raison: évaluer la sécurité d'un système particulier par le nombre et la complexité des bogues
fermés est dans la plupart des cas une mauvaise idée. Cependant, il ne sera pas superflu d'installer la mise à jour iOS si cela ne s'est pas encore produit: tout bug opéré à l'insu de l'utilisateur est, par définition, dangereux.
La reconnaissance vocale souffreLa source de l' image et l'artiste d' origine Vasya Lozhkina.Une autre nouvelle liée à Apple est le système de reconnaissance vocale Siri. Le 26 juillet, la publication britannique The Guardian a publié
un article décrivant le travail des entrepreneurs de l'entreprise qui améliorent le fonctionnement des algorithmes automatisés. En général, cela est logique: si quelque chose n'est pas décrypté dans le discours de l'abonné, vous devriez essayer d'améliorer le système. Mais dans cette approche, vous pouvez voir le risque pour la confidentialité, surtout lorsque vous considérez que l'assistant vocal s'allume parfois et commence à enregistrer du son non pas par la commande de l'abonné, mais par hasard, de lui-même. Ceci dans un article The Guardian témoigne d'un représentant anonyme de l'entrepreneur Apple.
Apple n'est pas la première entreprise à être critiquée en raison de la présence d'unités d '"auditeurs en direct" du système de reconnaissance vocale. Le 10 juillet, la publication belge VRT a
rendu compte non seulement de pratiques similaires, mais également de la fuite d'archives d'archives d'un des contractants de Google. En avril, un rapport similaire a été
publié sur le système de reconnaissance vocale d'Amazon Alexa.
Lorsqu'un appareil qui enregistre constamment du son et envoie parfois un enregistrement au fabricant apparaît chez vous, il y aura de nombreuses questions sur la confidentialité par définition. La raison de la large discussion des trois supports médiatiques mentionnés était la découverte «inattendue»: vos commandes vocales, il s'avère, écoutent non seulement une machine sans âme, mais aussi une personne vivante. Alors qu'Amazon, Google, Apple et même Yandex tentent de tirer parti d'une nouvelle fonctionnalité pratique, ils doivent garantir la confiance des utilisateurs, même s'il n'y a pas de menace directe de fuite de données. Et dans la plupart des cas, ce n'est pas le cas: un maximum d'un centième de tous les enregistrements est transmis aux contractants, sans possibilité d'identifier des utilisateurs spécifiques.
Néanmoins, il est en quelque sorte nécessaire de réagir, et jusqu'à présent, c'est ce qui ressort. Apple a
suspendu le programme QA de Siri. Amazon a
ajouté un paramètre de confidentialité qui bloque la reconnaissance de la voix humaine pour votre compte. Google a
suspendu la vérification des enregistrements dans l'Union européenne, car les régulateurs ont des questions sur la conformité de ces pratiques avec le RGPD. Cela semble être agréable, la vie privée des consommateurs dans ce cas peut être encore mieux protégée que dans d'autres situations. La question est de savoir dans quelle mesure le rejet du contrôle affectera la qualité de la reconnaissance. Le moment où la société a le choix: des progrès plus rapides ou moins d'ingérence dans la vie privée.
Avertissement: Les opinions exprimées dans ce résumé peuvent ne pas coïncider avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.