Af Eskil Sørensen, 04/02/21
For anden gang på mindre end tre måneder har Apple patchet sårbarheder i softwaren til iPhone og iPad og advarer om, at sårbarhederne allerede bliver udnyttet. Det skriver Dark Reading som opfølgning på sidste uges opdatering fra Apple.
Tre sårbarheder i Apples mobile software, der ville kunne bruges til at lave drive-by-downloadangreb mhp. at udnytte iPhones eller iPads.
Tre sårbarheder rettes
Opdateringen kom for at rette tre sårbarheder - en i kernen, der bliver brugt af iOS og iPadOS og to i WebKit-browserbiblioteket. I forbindelse med offentliggørelsen bemærkede Apple, at der var rapporter om aktiv udnyttelse af sårbarhederne.
Dark Reading skriver, at angrebsfladen er stor, eftersom to sårbarheder findes i den basale software, der bruges til at drive Safari-browseren. Det fremgår også, at Apples iPhone- og iPad-produkter regelmæssigt er mål for angribere. Således rettede Apple i en opdatering i november tre problemer i iOS og iPadOS, der ifølge Googles Project Zero-team også blev aktivt udnyttet.
Apples iOS har i øjeblikket godt en fjerdedel af markedsandelen for mobile operativsystemer i verden, mens Android-drevne mobile enheder står for mere end 70%, ifølge StateCounter's GlobalStats-rapport.
Dark Reading citerer i artiklen Chebyshev, en analytiker hos Kaspersky, for at sige, at ’..mens brugere af Android-enheder skal være opmærksomme på ondsindede filer og af den grund køre anti-malware-løsninger til sikkerhed, skal brugere af Apples mobile operativsystemer mest bekymre sig om fil-løse angreb, f.eks. Drive-by-downloads, som de nuværende sårbarheder tillader.’
Kan miste kontrol over enheden
Webkit-fejlene kan muliggøre et drive-by-download-angreb, hvilket giver en ondsindet webside adgang til andre data på brugerens enhed. Hvis udnyttelse af fejlen i kernen sker, kan en angriber bruge Webkit-angrebet til at eskalere privilegier og få kontrol over enheden, fremgår det af en advisory fra Kaspersky.
’Dette kan gøre det muligt for angribere at komme dybere ind i systemet og få adgang til alle data, herunder chats i messenger-apps og sociale netværk, geolokalisering, opkaldshistorik og firmaemails,’ siger Chebyshev.
Sikkerhedsopdateringen til operativsystem 14.4 vil efter det oplyste modvirke dette.