iOS 14.8, lansat. Toți utilizatorii de iPhone, iPad sau Mac sunt încurajați să facă update imediat

Autor: Cătălin Niţu 14.09.2021
iOS 14.8, lansat. Toți utilizatorii de iPhone, iPad sau Mac sunt încurajați să facă update imediat

Astăzi ne așteptăm să aflăm când vom putea face update la iOS 15 pe iPhone, întrucât Apple va lansa iPhone 13 și noua versiune a sistemului de operare. Totuși, compania nu a mai putut aștepta acel moment pentru a lansa un important update de securitate pentru toate dispozitivele sale. Acesta a fost lansat sub forma iOS 14.8 și este cel mai probabil ultima versiune de iOS 14 care ajunge pe piață. Update-ul rezolvă o problemă gravă de securitate în iMessage, care permitea accesarea datelor personale de la distanță, printr-un simplu mesaj.

Apple a rezolvat o problemă gravă de securitate cu iOS 14.8

Alături de iOS 14.8 și actualizările iPadOS 14.8, watchOS 7.6.2 și macOS Big Sur 11.6 au fost lansate, întrucât toate pot primi mesaje prin intermediul iMessage, iar codul de bază este comun pentru toate. Astfel, un atacator ar putea avea mai multe căi de intrare, dacă folosești mai multe dispozitive din ecosistemul Apple. Din fericire, toate actualizările vin simultan și pe toate dispozitivele compatibile.

Citizen Lab a descoperit o vulnerabilitate zero-day (adică una care era funcțională încă de la lansarea serviciului iMessage), care prin simpla trimitere a unui GIF modificat poate permite accesul complet la datele de pe dispozitiv. Nici măcar nu este necesar să deschizi sau să citești mesajul, întrucât odată ce este trimis către telefon, tabletă sau computer, acesta „deblochează” dispozitivul pentru atacatori. Fișierul este de fapt un document Photoshop (.psd) modificat și apoi mascat sub formă de GIF pentru a fi rulat automat de telefon.

Vulnerabilitatea a fost numită FORCEDENTRY (intrare forțată) și deja a fost folosită pentru realizarea spyware-ului Pegasus încă din luna februarie, conform informațiilor publicate de Washington Post. Acesta a fost folosit inclusiv de agenții de stat pentru accesarea datelor din anumite dispozitive, în special în țări în care drepturile omului nu sunt respectate. În Arabia Saudită, Pegasus a fost folosit pentru a accesa datele din telefoanele jurnaliștilor Al Jazeera, de exemplu.

iOS 14.8 închide vulnerabilitățile care făceau acest lucru posibil, una în componenta CoreGraphics framework și una în motorul de browser WebKit. Este recomandat celor care au date sensibile pe iPhone, iPad sau alte dispozitive Apple să facă update la iOS 14.8 cât mai repede, chiar dacă iOS 15 este, cel mai probabil, la doar câteva zile distanță.

sursa: Engadget, Citizen Lab, Washington Post