22 Juli, Apple
merilis pembaruan untuk sistem operasi iOS versi 12.4, yang menutup tiga kerentanan serius yang ditemukan oleh seorang ahli dari tim Google Project Zero Natalie Silvanovich. Yang paling berbahaya (CVE-2019-8646) memungkinkan Anda untuk mencuri data dari perangkat jarak jauh tanpa campur tangan pengguna. Secara teori dimungkinkan untuk mencatat informasi yang sewenang-wenang, tetapi sejauh mana potensi kerusakan pada pemilik ponsel cerdas dan tablet yang rentan belum sepenuhnya diteliti.
Masih ada sedikit informasi tentang kerentanan lain, hanya diketahui bahwa salah satunya (CVE-2019-8647) dapat menyebabkan modul SpringBoard, yang bertanggung jawab untuk membuat layar beranda perangkat iOS, mengalami kerusakan.
Silvanovich
memposting Bukti Konsep untuk CVE-2019-8646, yang mengimplementasikan skenario operasi yang khas: pesan yang disiapkan di iMessage, di mana data dikirim ke server penyerang, yang tidak boleh dikirim ke sana. Mari kita lihat kerentanan ini lebih dekat dan pada saat yang sama berbicara tentang faktor manusia dalam pemrosesan pesan suara untuk Siri dan asisten suara lainnya.
Publikasi data kerentanan adalah kasus yang agak menarik ketika perwakilan media harus memahami deskripsi teknis masalah. Semua publikasi didasarkan pada tiga laporan kerentanan dalam pelacak tim Google Project Zero:
ada informasi tentang kerentanan paling berbahaya (kebocoran data), katanya tentang kecelakaan Springboard, di
sini tentang kesalahan korupsi memori lainnya, dengan konsekuensi yang tidak diketahui (atau tanpa mereka) - eksploitasi praktis kerentanan ini sulit). Informasi tentang bug lain (CVE-2019-8641) belum diungkapkan, karena tambalan yang dirilis oleh Apple tidak efektif.
Kerentanan hanya dipengaruhi oleh ponsel yang didasarkan pada versi terbaru iOS 12. Dalam publikasi media dengan berbagai tingkat detail, rumusan yang agak berhati-hati tentang perincian teknis dari laporan bug asli dikutip, dan untuk pengguna rata-rata situasinya terlihat aneh:
tingkat drama tidak jelas . Kemungkinan besar, lebih banyak detail akan diungkapkan pada presentasi tim Google Project Zero, yang dijadwalkan minggu ini di konferensi BlackHat. Namun, peneliti lain mengambil PoC Silvanovich dan
merekam video karyanya:
Untuk menyederhanakan deskripsi, inilah yang terjadi: pesan iMessage yang disiapkan yang berisi URL dikirim ke pengguna. Klien iMessage di telepon sedang mencoba memproses pesan ini secara otomatis. Dalam beberapa kasus, alamat dikirim. Kesalahan dalam penangan mengarah pada penentuan jumlah karakter dalam URL yang salah. Akibatnya, ketika panggilan itu terjadi, isi blok memori tetangga ditambahkan ke alamat asli sebagai parameter. Server penyerang hanya perlu mendaftarkan panggilan dan mendekode data. Berbagai informasi lengkap yang dapat dicuri dengan cara ini belum ditentukan secara pasti: arsip pesan iMessage dan data biner disebutkan. Video di atas menunjukkan contoh serangan pada modul SpringBoard, yang mengakibatkan kebocoran gambar yang sebelumnya dilihat oleh pemilik perangkat.
Terlepas dari kenyataan bahwa semua konsekuensi dari mengeksploitasi masalah ini belum diteliti,
komentar dari beberapa
perwakilan industri didasarkan pada fakta bahwa sikap terhadap keamanan iPhone harus ditinjau. Kami tidak berpikir ini adalah alasan yang bagus: untuk mengevaluasi keamanan sistem tertentu dengan jumlah dan kompleksitas bug yang
ditutup dalam banyak kasus adalah ide yang buruk. Namun, itu tidak akan berlebihan untuk menginstal pembaruan iOS jika ini belum terjadi: bug apa pun yang dioperasikan tanpa sepengetahuan pengguna, menurut definisi, berbahaya.
Penderitaan Pengenalan SuaraSumber gambar dan artis asli Vasya Lozhkina.Sepotong berita lain yang terkait dengan Apple adalah sistem pengenalan suara Siri. Pada 26 Juli, publikasi Inggris The Guardian menerbitkan
sebuah artikel yang menggambarkan pekerjaan kontraktor perusahaan yang meningkatkan fungsi algoritma otomatis. Secara umum, ini masuk akal: jika ada sesuatu yang tidak didekripsi dalam pidato pelanggan, Anda harus mencoba memperbaiki sistem. Tetapi dalam pendekatan ini, Anda dapat melihat risiko untuk privasi, terutama ketika Anda menganggap bahwa asisten suara kadang-kadang menyala dan mulai merekam suara bukan atas perintah pelanggan, tetapi secara kebetulan, sendiri. Ini dalam sebuah artikel The Guardian bersaksi tentang perwakilan anonim dari kontraktor Apple.
Apple bukanlah perusahaan pertama yang dikritik karena kehadiran unit "pendengar langsung" dari sistem pengenalan suara. 10 Juli, publikasi Belgia VRT
melaporkan tidak hanya tentang praktik serupa, tetapi juga tentang kebocoran arsip catatan dari salah satu kontraktor Google. Pada bulan April, laporan serupa
diterbitkan di sistem pengenalan ucapan Amazon Alexa.
Ketika perangkat yang secara konstan merekam suara dan terkadang mengirimkan rekaman ke pabrik muncul di tempat Anda, akan ada banyak pertanyaan tentang privasi menurut definisi. Alasan untuk diskusi luas dari tiga bahan media yang disebutkan adalah penemuan "tak terduga": perintah suara Anda, ternyata, tidak hanya mendengarkan mesin tanpa jiwa, tetapi juga orang yang hidup. Sementara Amazon, Google, Apple dan bahkan Yandex berusaha memanfaatkan fitur baru yang nyaman, mereka perlu memastikan kepercayaan pengguna, bahkan jika tidak ada ancaman langsung kebocoran data. Dan dalam kebanyakan kasus tidak: maksimum seperseratus dari semua catatan ditransmisikan ke kontraktor, tanpa kemungkinan mengidentifikasi pengguna tertentu.
Namun demikian, entah bagaimana perlu bereaksi, dan sejauh ini yang keluar. Apple telah
menangguhkan program QA Siri. Amazon telah
menambahkan pengaturan privasi yang memblokir pengenalan suara manusia untuk akun Anda. Google telah
menangguhkan verifikasi catatan di Uni Eropa, karena regulator memiliki pertanyaan tentang kepatuhan praktik tersebut dengan GDPR. Tampaknya bagus, privasi konsumen dalam hal ini bahkan bisa lebih terlindungi daripada dalam situasi lain. Pertanyaannya adalah seberapa besar penolakan terhadap kontrol akan mempengaruhi kualitas pengakuan. Saat ketika masyarakat memiliki pilihan: kemajuan lebih cepat atau kurang campur tangan dalam kehidupan pribadi.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak sesuai dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.