ఆపిల్ iOS ‘జీరో ఇంటరాక్షన్’ ఐఫోన్ దుర్బలత్వం ప్రాజెక్ట్ భద్రతా జీరో నుండి గూగుల్ సెక్యూరిటీ పరిశోధకులు కనుగొన్నారు మరియు తొలగించారు

ఆపిల్ (అన్‌స్ప్లాష్‌లో మేధాట్ దావౌద్ ఫోటో)

అన్ని ఐఫోన్‌ల కోసం డిఫాల్ట్ ఆపరేటింగ్ సిస్టమ్ అయిన ఆపిల్ iOS, ఆరు క్లిష్టమైన “జీరో ఇంటరాక్షన్” హానిలను కలిగి ఉంది. తీవ్రమైన దోషాలు మరియు సాఫ్ట్‌వేర్ లోపాలను వేటాడే గూగుల్ యొక్క ఎలైట్ ‘ప్రాజెక్ట్ జీరో’ బృందం అదే కనుగొంది. ఆసక్తికరంగా, గూగుల్ యొక్క భద్రతా పరిశోధన బృందం అడవిలోని భద్రతా లోపాలను ఉపయోగించి అమలు చేయగల చర్యలను కూడా విజయవంతంగా ప్రతిరూపించింది. ఈ దోషాలు ఏ రిమోట్ దాడి చేసినా ఆపిల్ ఐఫోన్ యొక్క పరిపాలనా నియంత్రణను వినియోగదారు అనుమతించకుండా వినియోగదారు సందేశాన్ని స్వీకరించడం మరియు తెరవడం తప్ప వేరే ఏమీ చేయలేరు.

IOS 12.4 కి ముందు ఆపిల్ ఐఫోన్ ఆపరేటింగ్ సిస్టమ్ సంస్కరణలు ఆరు 'ఇంటరాక్షన్ లేని' భద్రతా దోషాలకు గురయ్యే అవకాశం ఉన్నట్లు కనుగొనబడింది, కనుగొన్నారు గూగుల్. గూగుల్ ప్రాజెక్ట్ జీరో యొక్క ఇద్దరు సభ్యులు వివరాలను ప్రచురించారు మరియు ఆరు దుర్బలత్వాలలో ఐదు కోసం ప్రూఫ్-ఆఫ్-కాన్సెప్ట్‌ను విజయవంతంగా ప్రదర్శించారు. భద్రతా లోపాలను చాలా తీవ్రంగా పరిగణించవచ్చు, ఎందుకంటే ఐఫోన్ యొక్క భద్రతకు రాజీ పడటానికి సంభావ్య బాధితుడు అమలు చేసే చర్యల యొక్క కనీస మొత్తం అవసరం. భద్రతా దుర్బలత్వం iOS ఆపరేటింగ్ సిస్టమ్‌ను ప్రభావితం చేస్తుంది మరియు iMessage క్లయింట్ ద్వారా దోపిడీ చేయవచ్చు.

గూగుల్ ‘బాధ్యతాయుతమైన అభ్యాసాలను’ అనుసరిస్తుంది మరియు ఐఫోన్ iOS లోని తీవ్రమైన భద్రతా లోపాల గురించి ఆపిల్‌కు తెలియజేస్తుంది:

వచ్చే వారం లాస్ వెగాస్‌లో జరిగే బ్లాక్ హాట్ భద్రతా సమావేశంలో ఆపిల్ ఐఫోన్ ఐఓఎస్‌లోని భద్రతా లోపాల గురించి గూగుల్ వివరాలను వెల్లడిస్తుంది. ఏదేమైనా, సెర్చ్ దిగ్గజం భద్రతా లొసుగులు లేదా బ్యాక్ డోర్ల గురించి సంబంధిత కంపెనీలను అప్రమత్తం చేసే బాధ్యతాయుతమైన అభ్యాసాన్ని కొనసాగించింది మరియు బృందం వివరాలను బహిరంగంగా వెల్లడించే ముందు పాచెస్ జారీ చేయడానికి అనుమతించమని మొదట ఆపిల్కు సమస్యలను నివేదించింది.

తీవ్రమైన భద్రతా దోషాలను గమనించి, ఆపిల్ దోషాలను అరికట్టడానికి పరుగెత్తింది. అయితే, ఇది పూర్తిగా విజయవంతం కాకపోవచ్చు. ఆపిల్ బగ్‌ను పూర్తిగా పరిష్కరించనందున “ఇంటరాక్షన్‌లెస్” దుర్బలత్వాలలో ఒకదాని గురించి వివరాలు ప్రైవేట్‌గా ఉంచబడ్డాయి. దోషాలను కనుగొని నివేదించిన ఇద్దరు గూగుల్ ప్రాజెక్ట్ జీరో పరిశోధకులలో ఒకరైన నటాలీ సిల్వనోవిచ్ దీని గురించి సమాచారాన్ని అందించారు.

ఆపిల్ యొక్క iMessage అనువర్తనంలో లోపాలను గూగుల్ వెల్లడించింది

వైరస్లు, మాల్వేర్ మరియు ఇలాంటి లేదా కోడింగ్ లోపాలకు ఏదీ నిరోధించబడదు: MacOS, Android, iOS, Linux, Windows - అవన్నీ హాని కలిగిస్తాయి. అన్ని OS లకు పాచెస్ మరియు యాంటీవైరల్స్ ఎల్లప్పుడూ అవసరం https://t.co/sTpLUY2XqO

- స్కాటీ (usosusuki) జూలై 30, 2019

ఆరు భద్రతా దోషాలలో నాలుగు రిమోట్ iOS పరికరంలో హానికరమైన కోడ్ అమలుకు దారితీస్తుందని పరిశోధకుడు గుర్తించారు. ఇంకా ఏమిటంటే, ఈ దోషాలకు యూజర్ ఇంటరాక్షన్ అవసరం లేదు. దాడి చేసేవారు బాధితుడి ఫోన్‌కు ప్రత్యేకంగా కోడెడ్ చేసిన చెడ్డ సందేశాన్ని పంపాలి. అందుకున్న అంశాన్ని వీక్షించడానికి వినియోగదారు సందేశాన్ని తెరిచిన తర్వాత హానికరమైన కోడ్ సులభంగా అమలు అవుతుంది. మిగతా రెండు దోపిడీలు దాడి చేసేవారిని పరికరం యొక్క మెమరీ నుండి డేటాను లీక్ చేయడానికి మరియు రిమోట్ పరికరం నుండి ఫైళ్ళను చదవడానికి అనుమతించగలవు. ఆశ్చర్యకరంగా, ఈ దోషాలకు కూడా వినియోగదారు పరస్పర చర్య అవసరం లేదు.

ఐఫోన్ iOS లో ఆరు ‘జీరో ఇంటరాక్షన్’ భద్రతా లోపాలను ఆపిల్ విజయవంతంగా ప్యాచ్ చేయగలదా?

మొత్తం ఆరు భద్రతా లోపాలు గత వారం జూలై 22 న విజయవంతంగా అతుక్కొని ఉండాల్సి ఉంది. ఆపిల్ యొక్క iOS 12.4 విడుదలతో . అయితే, అలా అనిపించడం లేదు. ఐఫోన్ iOS లోని ఆరు భద్రతా “జీరో ఇంటరాక్షన్” దుర్బలత్వాలలో ఐదుంటిని మాత్రమే ఆపిల్ పరిష్కరించగలిగిందని భద్రతా పరిశోధకుడు గుర్తించారు. ఇప్పటికీ, పాచ్ చేసిన ఐదు దోషాల వివరాలు ఆన్‌లైన్‌లో అందుబాటులో ఉన్నాయి. గూగుల్ తన బగ్ రిపోర్టింగ్ సిస్టమ్ ద్వారా దీనిని అందించింది.

రిమోట్ ఎగ్జిక్యూట్ చేయడానికి మరియు బాధితుడి ఐఫోన్ యొక్క పరిపాలనా నియంత్రణను మంజూరు చేసిన మూడు దోషాలు CVE-2019-8647 , CVE-2019-8660 , మరియు CVE-2019-8662 . లింక్ చేయబడిన బగ్ నివేదికలలో ప్రతి బగ్ గురించి సాంకేతిక వివరాలు మాత్రమే కాకుండా, దోపిడీలను రూపొందించడానికి ఉపయోగపడే ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ కోడ్ కూడా ఉన్నాయి. ఆపిల్ ఈ వర్గం నుండి నాల్గవ బగ్‌ను విజయవంతంగా గుర్తించలేక పోయినందున, దాని వివరాలు గోప్యంగా ఉంచబడ్డాయి. గూగుల్ ఈ భద్రతా దుర్బలత్వాన్ని CVE-2019-8641 గా ట్యాగ్ చేసింది.

ఈ లోపాలలో ఒకటి రిమోట్ దాడి చేసేవారికి బాధితుడిపై నిల్వ చేసిన ఫైళ్ళ యొక్క కంటెంట్‌ను చదవడానికి అనుమతించే అవుట్-బౌండ్స్ రీడ్ (CVE-2019-8646) సమస్య #iOS iMessage ద్వారా తప్పు సందేశాన్ని పంపడం ద్వారా పరికరం.

- హ్యాకర్ న్యూస్ (HTheHackersNews) జూలై 30, 2019

డెల్ టచ్‌ప్యాడ్ పనిచేయడం లేదు

గూగుల్ ఐదవ మరియు ఆరవ దోషాలను ట్యాగ్ చేసింది CVE-2019-8624 మరియు CVE-2019-8646 . ఈ భద్రతా లోపాలు బాధితుడి ప్రైవేట్ సమాచారాన్ని నొక్కడానికి దాడి చేసేవారిని అనుమతించగలవు. ఇవి ప్రత్యేకించి సంబంధించినవి ఎందుకంటే అవి పరికరం యొక్క మెమరీ నుండి డేటాను లీక్ చేయగలవు మరియు బాధితుడి నుండి ఎటువంటి పరస్పర చర్య అవసరం లేకుండా రిమోట్ పరికరం నుండి ఫైళ్ళను చదవగలవు.

IOS 12.4 తో, హాని కలిగించే iMessage ప్లాట్‌ఫామ్ ద్వారా ఐఫోన్‌లను రిమోట్‌గా నియంత్రించే ప్రయత్నాలను ఆపిల్ విజయవంతంగా నిరోధించి ఉండవచ్చు. అయినప్పటికీ, ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ కోడ్ యొక్క ఉనికి మరియు బహిరంగ లభ్యత అంటే హ్యాకర్లు లేదా హానికరమైన కోడర్‌లు ఇప్పటికీ iOS 12.4 కు నవీకరించబడని ఐఫోన్‌లను దోపిడీ చేయగలవు. మరో మాటలో చెప్పాలంటే, భద్రతా నవీకరణలు అందుబాటులోకి వచ్చిన వెంటనే వాటిని ఇన్‌స్టాల్ చేయాలని ఎల్లప్పుడూ సిఫార్సు చేయబడినప్పటికీ, ఈ సందర్భంలో ఆపిల్ విడుదల చేసిన తాజా iOS నవీకరణను ఎటువంటి ఆలస్యం లేకుండా ఇన్‌స్టాల్ చేయడం చాలా అవసరం. చాలా మంది హ్యాకర్లు పాచ్ లేదా ఫిక్స్ చేసిన తర్వాత కూడా హానిని దోచుకోవడానికి ప్రయత్నిస్తారు. దీనికి కారణం, అధిక శాతం పరికర యజమానులు వెంటనే అప్‌డేట్ చేయని లేదా వారి పరికరాలను నవీకరించడంలో ఆలస్యం చేయరని వారికి బాగా తెలుసు.

ఐఫోన్ iOS లో తీవ్రమైన భద్రతా లోపాలు డార్క్ వెబ్‌లో చాలా లాభదాయకంగా మరియు ఆర్థికంగా రివార్డ్ చేస్తున్నాయి:

ఆరు 'జీరో ఇంటరాక్షన్' భద్రతా లోపాలను సిల్వనోవిచ్ మరియు తోటి గూగుల్ ప్రాజెక్ట్ జీరో భద్రతా పరిశోధకుడు శామ్యూల్ గ్రోస్ కనుగొన్నారు. వచ్చే వారం లాస్ వెగాస్‌లో జరగనున్న బ్లాక్ హాట్ భద్రతా సదస్సులో సిల్వనోవిచ్ రిమోట్ మరియు “ఇంటరాక్షన్‌లెస్” ఐఫోన్ దుర్బలత్వాల గురించి ప్రదర్శన ఇవ్వనున్నారు.

' జీరో-ఇంటరాక్షన్ ’లేదా‘ ఘర్షణ లేని ’ప్రమాదాలు ముఖ్యంగా ప్రమాదకరమైనవి మరియు భద్రతా నిపుణులలో తీవ్ర ఆందోళనకు కారణం. జ చర్చ గురించి చిన్న స్నిప్పెట్ ఐఫోన్ iOS లోని ఇటువంటి భద్రతా లోపాల గురించి ఆందోళనలను సిల్వనోవిచ్ సమావేశంలో తెలియజేస్తారు. 'ఐఫోన్‌పై దాడి చేయడానికి యూజర్ ఇంటరాక్షన్ అవసరం లేని రిమోట్ దుర్బలత్వాల పుకార్లు ఉన్నాయి, అయితే ఆధునిక పరికరాల్లో ఈ దాడుల యొక్క సాంకేతిక అంశాల గురించి పరిమిత సమాచారం అందుబాటులో ఉంది. ఈ ప్రదర్శన iOS యొక్క రిమోట్, ఇంటరాక్షన్-తక్కువ దాడి ఉపరితలాన్ని అన్వేషిస్తుంది. ఇది SMS, MMS, విజువల్ వాయిస్ మెయిల్, iMessage మరియు మెయిల్‌లోని దుర్బలత్వాల గురించి చర్చిస్తుంది మరియు ఈ భాగాలను పరీక్షించడానికి సాధనాన్ని ఎలా సెటప్ చేయాలో వివరిస్తుంది. ఈ పద్ధతులను ఉపయోగించి కనుగొనబడిన హాని యొక్క రెండు ఉదాహరణలు కూడా ఇందులో ఉన్నాయి. ”

గూగుల్ ప్రాజెక్ట్ జీరో పరిశోధకులు 5 ‘జీరో ఇంటరాక్షన్’ ఐమెసేజ్ లోపాలు, 4 iOS 12.4 లో పరిష్కరించబడ్డాయి OGoogle
CVE-2019-8660 జ్ఞాపకశక్తి అవినీతి లోపం

వెల్లడించిన రెండు లోపాలు ఐఫోన్ జియుఐ క్రాష్‌కు దారితీస్తాయి

పరిశోధకులలో ఒకరు బ్లాక్ హాట్ యుఎస్ఎ 2019 లో లోపాలను వివరిస్తారు pic.twitter.com/slkkkOoObE

- డైలీ టెక్ (@ వికాస్‌గౌడ్ .1997) జూలై 30, 2019

ప్రెజెంటేషన్ కన్వెన్షన్‌లో అత్యంత ప్రాచుర్యం పొందింది, ఎందుకంటే యూజర్-ఇంటరాక్షన్ iOS బగ్‌లు చాలా అరుదు. చాలా iOS మరియు మాకోస్ దోపిడీలు బాధితుడిని ఒక అనువర్తనాన్ని అమలు చేయడానికి లేదా వారి ఆపిల్ ID ఆధారాలను బహిర్గతం చేయడానికి విజయవంతంగా మోసగించడంపై ఆధారపడతాయి. సున్నా-ఇంటరాక్షన్ బగ్‌కు దోపిడీని ప్రారంభించడానికి కళంకమైన సందేశాన్ని తెరవడం అవసరం. ఇది సంక్రమణ లేదా భద్రతా రాజీ అవకాశాలను గణనీయంగా పెంచుతుంది. చాలా మంది స్మార్ట్‌ఫోన్ వినియోగదారులు పరిమిత స్క్రీన్ రియల్ ఎస్టేట్ కలిగి ఉన్నారు మరియు దాని విషయాలను తనిఖీ చేయడానికి సందేశాలను తెరవడం ముగుస్తుంది. తెలివిగా రూపొందించిన మరియు చక్కగా చెప్పే సందేశం తరచుగా గ్రహించిన ప్రామాణికతను విపరీతంగా పెంచుతుంది, ఇది విజయానికి అవకాశాలను మరింత పెంచుతుంది.

ఇటువంటి హానికరమైన సందేశాలను SMS, MMS, iMessage, Mail లేదా విజువల్ వాయిస్ మెయిల్ ద్వారా పంపవచ్చని సిల్వనోవిచ్ పేర్కొన్నారు. వారు బాధితుడి ఫోన్‌లో ముగుస్తుంది మరియు తెరవాలి. 'ఇటువంటి దుర్బలత్వం దాడి చేసేవారి పవిత్ర గ్రెయిల్, ఇది గుర్తించబడని బాధితుల పరికరాలను హ్యాక్ చేయడానికి అనుమతిస్తుంది.' యాదృచ్ఛికంగా, ఈ రోజు వరకు, అటువంటి కనీస లేదా “జీరో ఇంటరాక్షన్” భద్రతా లోపాలు విక్రేతలు మరియు చట్టపరమైన అంతరాయ సాధనాలు మరియు నిఘా సాఫ్ట్‌వేర్‌ల తయారీదారులచే మాత్రమే ఉపయోగించబడుతున్నాయి. ఇది కేవలం అలాంటి అర్థం అత్యంత అధునాతన దోషాలు డార్క్ వెబ్‌లో పనిచేసే సాఫ్ట్‌వేర్ విక్రేతలచే తక్కువ మొత్తంలో అనుమానం ఏర్పడుతుంది. మాత్రమే రాష్ట్ర-ప్రాయోజిత మరియు ఫోకస్ చేసిన హ్యాకింగ్ సమూహాలు సాధారణంగా వారికి ప్రాప్యత ఉంటుంది. ఎందుకంటే, ఇటువంటి లోపాలను పట్టుకున్న విక్రేతలు వాటిని భారీ మొత్తానికి అమ్ముతారు.

ప్రచురించిన ధర చార్ట్ ప్రకారం జెరోడియం , డార్క్ వెబ్ లేదా సాఫ్ట్‌వేర్ బ్లాక్ మార్కెట్‌లో విక్రయించే ఇటువంటి దుర్బలత్వాలకు ఒక్కొక్కటి $ 1 మిలియన్లు ఖర్చవుతుంది. అనగా సిల్వనోవిచ్ అక్రమ సాఫ్ట్‌వేర్ విక్రేతలు $ 5 మిలియన్ల నుండి million 10 మిలియన్ల మధ్య వసూలు చేసిన భద్రతా దోపిడీ వివరాలను ప్రచురించి ఉండవచ్చు. క్రౌడ్ఫెన్స్ , భద్రతా సమాచారంతో పనిచేసే మరొక ప్లాట్‌ఫాం, ధర చాలా ఎక్కువగా ఉండేదని పేర్కొంది. ఈ లోపాలు “ నో-క్లిక్ దాడి గొలుసు ”. అంతేకాకుండా, iOS దోపిడీల యొక్క ఇటీవలి సంస్కరణల్లో దుర్బలత్వం పనిచేసింది. వారిలో ఆరుగురు ఉన్నారనే దానితో కలిపి, ఒక దోపిడీ విక్రేత చాలా సులభంగా million 20 మిలియన్లకు పైగా సంపాదించవచ్చు.