Apple szczyci się renomą firmy, która dba o bezpieczeństwo i prywatność swoich użytkowników. Niedawno odkryty błąd aplikacji Kontakty (i nie tylko) pokazuje jednak, że przeprowadzenie ataku na urządzenia z iOS jest możliwe, chociaż dość trudne.
Teoretycznie błąd dotyczy nie tylko aplikacji Kontakty, ale wszystkich apek działających w systemie obsługi baz danych SQLite – korzystają z niego także Android, Firefox czy Windows 10. Polega on na przechwytywaniu danych z urządzenia poprzez wykorzystanie błędu zabezpieczeń, który obecny jest w systemie od… czterech lat. Luka nie została załatana, ponieważ do tej pory sądzono, że mogą ją wykorzystywać tylko niezweryfikowane aplikacje, których nie można instalować na urządzeniach z iOS.
Okazało się jednak, że błąd jest dostępny także dla zaufanych aplikacji, w tym Kontaktów. Wystarczyło odpowiednio przeinstalować apkę, aby przy każdym następnym wyszukiwaniu oddawała ona kontrolę nad urządzeniem w ręce osób trzecich – mogła ona wykonywać szereg czynności, w tym przechwytywać hasła. Prawdopodobieństwo, że ktokolwiek padł ofiarą tego ataku jest jednak skrajnie niskie, ponieważ do modyfikacji Kontaktów potrzebny jest chwilowy, fizyczny dostęp do odblokowanego urządzenia z iOS. Badaczom udało się jednak udowodnić, że przejęcie w ten sposób kontroli nad zaufaną apką jest możliwe, a zatem błąd powinien zostać wyeliminowany. Apple otrzymało pełną dokumentację luki.
Producent z Cupertino chce inwestować w bezpieczeństwo użytkowników. Program wyszukiwania błędów w produktach Apple z iOS, macOS, tvOS i watchOS został właśnie uzupełniony o nowe, wyższe nagrody. Jeśli badaczom bezpieczeństwa uda się odkryć błąd pozwalający na dostanie się do rdzenia systemu operacyjnego bez jakichkolwiek interakcji z użytkownikiem (w tym ingerencji w jego sprzęt lub oprogramowanie), mogą oni otrzymać nawet milion dolarów. Program jest otwarty dla wszystkich zainteresowanych.
