Acara utama minggu lalu adalah
bug di sistem operasi iOS 12 untuk perangkat seluler Apple. Fungsi Group FaceTime, yang memungkinkan Anda untuk mengatur panggilan konferensi dengan beberapa pengguna sekaligus, dapat digunakan untuk menguping apa yang terjadi di sisi pelanggan tanpa sepengetahuannya. Belakangan ternyata Grup FaceTime juga bisa digunakan untuk memata-matai. Meskipun ada sedikit manfaat praktis dari metode ini, ada kegagalan dalam perlindungan data, dan Apple telah menonaktifkan sementara kemampuan untuk membuat panggilan audio dan video grup.
Kerentanan dalam FaceTime sangat mirip dengan lusinan cara yang sebelumnya ditemukan dan ditutup untuk memotong kunci layar - dalam semua kasus, lubang keamanan dibuat di persimpangan elemen iOS yang berbeda. Menambahkan panggilan grup ke messenger perusahaan Apple pada awalnya juga mengarah ke putaran lockscreen berikutnya. Kembali pada bulan November, peneliti Jose Rodriguez dapat
memotong kunci seperti ini: kita memanggil FaceTime di telepon korban, menjawab panggilan (ini dapat dilakukan tanpa membuka kunci), mencoba menambahkan pelanggan lain ke percakapan, yang memberikan akses ke buku telepon. Masalah yang ditemukan pada bulan Januari ternyata jauh lebih serius.
Lokskrina memotong di iOS 12.1 tampak seperti ini:
Teknologi Group FaceTime diumumkan Juni lalu di iOS 12 mendatang. Pada akhir Oktober, pembaruan menjadi tersedia untuk semua pemilik perangkat Apple. Sejak itu, perusahaan telah merilis tiga pembaruan sistem operasi yang tidak hanya menutup bug yang melewati layar kunci, tetapi juga beberapa metode serangan DoS yang
ditemukan oleh Natalie Silvanovich dari tim Google Project Zero. Dalam semua kasus, penolakan layanan disebabkan oleh aliran video yang disiapkan yang dikirim ke perangkat target melalui FaceTime. Kerentanan tidak hanya memengaruhi iOS, tetapi juga Mac OS.
Set patch terbaru dirilis pada 22 Januari, tetapi masalah dengan panggilan grup belum terselesaikan. Agaknya, kerentanan paling pertama secara tidak sengaja ditemukan oleh seorang gamer berusia 14 tahun. Dia membuat panggilan ke FaceTime untuk bermain Fortnite bersama dan menemukan bahwa dia mendengar penelepon berbicara, meskipun mereka belum menjawab panggilan.
Dalam diskusi tentang tweet, Anda dapat melihat apa yang terjadi ketika Anda menemukan kerentanan serius di iOS: sekawanan wartawan terbang ke arah Anda. Ibu gamer melaporkan masalah ke Apple, dan dia harus membuat akun pengembang untuk mengirim informasi tentang kerentanan. Dan kerentanannya terlihat seperti ini:
Mereproduksi masalah sangat sederhana. Anda perlu menelepon pelanggan lain dan, saat panggilan sedang berlangsung, buat panggilan grup dengan menambahkan peserta lain ke dalamnya (Anda dapat menambahkan sendiri). Segera setelah ini, Anda dapat mendengar apa yang terjadi di sisi lain, meskipun pelanggan belum menjawab panggilan. Secara lebih rinci, dengan gambar, diagram dijelaskan di
sini , di Reddit mereka
mengkonfirmasi bahwa pelanggan yang dipanggil juga mendengarmu, meskipun ia masih tidak menjawab panggilan. Dengan kata lain, mikrofon dan speaker pada perangkat diaktifkan segera setelah melakukan panggilan konferensi, tidak perlu dijawab. Dengan nyaman!
28 Januari, media menulis tentang masalah ini. Pada tanggal 29 Januari, kerentanan diperluas ke panggilan video dengan cara yang serupa: Anda perlu menambahkan diri Anda ke panggilan kolektif, dan kemudian menanggapi undangan ini dari perangkat kedua. Dalam hal ini, kamera diaktifkan tanpa permintaan untuk pelanggan korban. Pada hari yang sama, Apple menonaktifkan sementara layanan FaceTime Grup. Sekitar satu minggu berlalu antara laporan awal masalah dan solusinya.
Di antara perusahaan besar yang memproses sejumlah besar informasi sensitif, Apple dianggap sebagai salah satu yang paling dapat diandalkan. Kejadian seperti itu merupakan pukulan serius bagi reputasi, meskipun tampaknya tidak jauh berbeda dengan kebocoran informasi lainnya. Ada masalah, masalah diselesaikan, dan jika seseorang ingin mengeksploitasi kerentanan, maka peluang seperti itu ada sekitar 24 jam. Tidak seperti masalah akses data Facebook, Google, atau Twitter, hampir tidak mungkin untuk menggunakan masalah FaceTime Grup dalam skala besar. Namun demikian, akses tidak sah ke mikrofon dan kamera dalam bentuk apa pun akan selalu dianggap sebagai masalah serius, meskipun ancaman nyata, mungkin, ditimbulkan oleh kasus-kasus informasi pribadi massal yang jatuh ke tangan orang-orang dan organisasi yang tidak dapat dipahami untuk waktu yang lama dan tanpa kemungkinan kontrol. .
Berbicara tentang massa dan panjang.
Kisah bocornya basis data login dan kata sandi raksasa minggu lalu
berlanjut . Koleksi # 1, yang bocor pada pertengahan Januari, hanya bagian dari database tujuh arsip yang bahkan lebih besar. Jumlah total data mendekati satu terabyte. Ini, tentu saja, adalah tempat penyimpanan informasi pribadi yang mengesankan, tetapi pada umumnya itu tidak mengubah apa pun - beralih ke penggunaan kata sandi persisten, satu kali, yang diperbarui secara berkala dengan otorisasi dua faktor diperlukan, terlepas dari ukuran kebocorannya.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak selalu bertepatan dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.