Apple har udgivet deres sikkerhed rapport om flere kritiske opdateringer, der blev opdaget på deres sidste IOS 10.2 udgave. Enhver, der bruger det er rådes til straks at installere deres seneste opdatering og lappe disse exploits til at øge sikkerheden for enheden. De udnytter var kritiske i den forstand, at man selv kan få adgang til at styre funktioner på enheden blive hacket, hvis der anvendes disse fejl i en udnytte angreb. Vi har besluttet at forklare funktionen af hver udnytter.
CVE-2016-7634 (Adgang)
Krediteret Davut Hari, denne sårbarhed som primært var på iPhone 5 og senere enheder, iPad 4. generation og nyere enheder og endda iPod touch 6. generation enheder er rapporteret til at være meget kritisk med hensyn til stemme passwords. Et kritisk punkt i de talte passwords er blevet rapporteret at gøre det tilgængeligt for en bruger, der er i nærheden til at trykke på det talte adgangskode og overhøre den fra deres enhed. Løsningen på problemet er at deaktivere talte adgangskoder.
CVE-2016-7664 (Adgang)
En anden tilgængelighed sårbarhed opdaget af Miguel Alvarado som også er for de ovennævnte enheder er forbundet med evnen til at få adgang til fotos samt kontakter fra låseskærmen, uden selv at frigøre det. Dette problem blev fastsat ved at begrænse de muligheder, der kan tilgås fra en enhed, der er blevet låst.
CVE-2016-7651 (konto Sårbarhed)
Med hensyn til de nyeste iPhones og iPad-enheder, sårbarheden kan resultere i svigt af genstart af optionerne godkendelse, når du forsøger at afinstallere en app, der har en sådan. Opdaget af Trend Micro forskere Ju ZZhu og Lilang Wu, det blev fastsat ved at forbedre grundighed, mens de udfører en afinstallere.
CVE-2016-7638 (iPhone Beliggenhed)
Denne sårbarhed er primært orienteret mod kontrol af funktionen "Find min iPhone". Det resulterer i en vellykket evne hacker at deaktivere denne funktion, som hypotetisk kunne betyde en vellykket tyveri af en enhed. Spørgsmålet blev først opdaget af Sezer Sakiner og fastsat ved forbedringer vedrørende de oplysninger konto opbevaring.
CVE-2016-7665 (Grafik)
Denne fejl blev opdaget af Moataz El Gaml af Schlumberger, og det er evnen af hacker at udføre en DOS (Servicenægtelse) angreb som følge af at sende offeret en video, der er med skadelig kode i det. Så snart det påståede offer ure videoen, sin enhed bliver ikke-funktionelle. Der var forbedringer om, hvordan input medier er leveret og valideret.
CVE-2016-4690 (Billeder)
Denne fejl vedrørende registrering af billederne findes også for sidstnævnte end iPhone 5, iPad 4. og iPod touch 6. generation enheder. Det er evnen af en ondsindet enhed, der interagerer med enheden fysisk at indsprøjte en skadelig kode og udføre det. For at løse dette problem, opdaget af Andy Davis fra NCC Group, Apple har forbedret validering af eventuelle input fra USB billede enheder.
CVE-2016-4690 (Log på)
Primært relateret til ægtheden af login af enhederne, denne sårbarhed resultater i forebyggelse af skærmen for at auto-lock efter en timeout, hvori den mobile enhed er inaktiv er udløbet. Primært relateret til Touch ID af enhederne, roden af dette spørgsmål kommer fra timeren af Touch ID anmodningen vises. Den løsning på problemet, opdaget af en anonym forsker blev gjort ved at forbedre, hvordan netop timeren selv reagerer på en ledig tilstand.
CVE-2016-4689 (E-mail)
Denne sårbarhed blev også opdaget af en anonym forsker takket være hvem Apple var i stand til at løse en manglende kontrol S / MIME-politik validering og selvom certifikatet viste var ikke gyldigt, politikken kontrollør vil ikke opdage det. Resultatet af dette spørgsmål er, at en phishing eller andre mistænkelige e-mail med en udløbet eller et falskt certifikat kunne sendes som en gyldig én og der er ingen måde at opdage det. Heldigvis problemet fastsat ved personligt at kontakte brugeren ved modtagelse af en mail med et uanvendeligt certifikat.
CVE-2016-7653 (Media Player)
Denne sårbarhed er en smule mere interessant end de andre. Det vides ikke, hvem opdagede det, men hvis nogen kender det, han eller hun kan få vist fotos og endda kontakter direkte fra låseskærmen af brugeren ved at udføre flere aktiviteter som trick enheden. For at løse problemet, Apple har gennemgået pletter af udvælgelsen medier, og hvordan det er lykkedes. De har også tilføjet et ekstra lag af sikkerhed ved at indføre forbedringer i validering.
CVE-2016- 4781 (springbræt)
Opdaget af ukendt, denne sårbarhed resulterer i evnen til at låse enheden ved at udnytte spørgsmålet om forsøg udført på adgangskoden skærmen. Dette gør alle, der kender sårbarheden med fysisk adgang til en iOS 10.2 enhed i stand til at fjerne låseskærmen og få fuld adgang til enheden. Opdaget af Anonym, fastsættelsen af dette spørgsmål er blevet udført ved at forbedre forvaltningen moduler.
CVE-2016-7626 (Profil)
Denne sårbarhed kan resultere i infektion via ondsindet kode (script) at blive henrettet som følge af offeret åbner et certifikat med skadelig kode i det. Denne skadelig kode inficerer via drage fordel af en fejl i de certifikat håndtering modulerne vedrørende profiler. Patching af input validering var forpligtet til at ordne det.
CVE-2016-7597 (springbræt)
Denne sårbarhed igen, ligner CVE-2016-4781 kan gøre det muligt at få adgang en iOS-enhed ved blot at holde det låst op. Dette problem stammer fra Siri Handovv og kommunikation. Det var fastsat ved at forbedre forvaltningen protokoller.
iOS 10.2 Bugs - Konklusion
Den sikkerhedsproblemer i Apples nyeste iOS-version 10 blev bekræftet, men den gode del er, at virksomheden har hurtigt rettet disse spørgsmål hurtigt og alle, der bruger de ovennævnte enheder bør straks udføre en opdatering for at lappe disse sårbarheder.