Článok na blogu známeho bezpečnostného experta Iana Beer, pracujúceho v tíme Project Zero spoločnosti Google, z 1. decembra prilákal značnú pozornosť médií. Autor v ňom ukázal, ako je možné úplne nepozorovane napadnúť „neprelomiteľný“ iPhone a preniesť z neho fotky do notebooku umiestneného neďaleko.
Postup útoku, na ktorý Beer prišiel, umožňuje útočníkovi preniknúť do blízkeho iPhonu a ukradnúť z neho osobné dáta. To všetko iba za pomoci bezdrôtového pripojenia a bez nutnosti potvrdzovania a bez varovania, ktoré by sa zobrazovalo nič netušiacemu majiteľovi napadnutého zariadenia.
Beerov článok je zakončený krátkym videom, ktoré ukazuje, ako automatizovaným spôsobom ukradol fotku zo svojho vlastného telefónu s použitím hackerskej súpravy umiestnenej vo vedľajšej miestnosti:
- V jednej z miestností vyhotovil s použitím iPhonu fotku „tajného dokumentu“
- Následne nechal „používateľa“ telefónu (ružového medvedíka) spokojne sedieť a sledovať video na YouTube
- Zašiel do vedľajšej miestnosti a spustil automatizovaný útok, ktorý využil chybu v operačnom systéme telefónu
- Počas útoku nenápadne nahral do telefónu škodlivý kód, ktorým si pre seba získal prístup k dátam aplikácie Fotoaparát, prečítal „tajnú“ fotku a nepozorovane ju odoslal do notebooku vo vedľajšej miestnosti
Telefón pritom normálne fungoval – bez zobrazenia akéhokoľvek varovania, vyskakovacieho okna alebo čohokoľvek, čo by mohlo používateľa na útok hackera upozorniť.
A to je zlá správa. Dobrou správou však je, že zraniteľnosť, na ktorú sa Beer spoliehal, práve on sám pred niekoľkými mesiacmi odhalil a aj nahlásil spoločnosti Apple. Tá ju v iOS 13.5 z mája 2020 opravila. Ak ste teda svoj iPhone v posledných mesiacoch aktualizovali, mali by ste byť pred týmto konkrétnym útokom v bezpečí.
Štyri tipy, ako sa pred podobnými útokmi chrániť podľa Paula Ducklina:
Tip 1: Uistite sa, že máte nainštalované všetky bezpečnostné opravy, pretože chyba, ktorá bola jadrom Beerovho útoku a ktorú on sám odhalil, už bola opravená. Dostupnosť aktualizácií a opráv si skontrolujte v Nastavenia> Všeobecné> Aktualizácia softvéru
Tip 2: Ak práve nepotrebujete Bluetooth, vypnite ho. Beerov útok je dobrou ukážkou toho, že „menej je viac“, pretože na nepozorovaný útok bola použitá práve technológia Bluetooth
Tip 3: Nikdy nepredpokladajte, že keď možnosť zneužitia chyby vyzerá veľmi nepravdepodobne, tak ju ani nikto nezneužije. Beer pripúšťa, že jeho útok bol zložitý, dokonca veľmi náročný, ale vo výsledku nebol nemožný.
Tip 4: Ak ste programátor, dávajte si dobrý pozor na dáta. Nikdy nie je na škodu vykonať dôkladnú kontrolu. Pre všetkých programátorov potom platí staré známe „Očakávajte najlepšie, ale pripravte sa na najhoršie.“
