Specjaliści dziedzinie cyberbezpieczeństwa znaleźli sposób, jak włamać się do milionów iPhone i iPad. Luka dotyczy wszystkich urządzeń z procesorami od A5 do A11, czyli od iPhone 4S do iPhone X.
Podatność na atak występuje w momencie ładowania systemu operacyjnego. Funkcja jest zależna od procesora i nie można jej wyeliminować poprzez aktualizację oprogramowania.
EPIC JAILBREAK: Introducing checkm8 (read "checkmate"), a permanent unpatchable bootrom exploit for hundreds of millions of iOS devices.
Most generations of iPhones and iPads are vulnerable: from iPhone 4S (A5 chip) to iPhone 8 and iPhone X (A11 chip). https://t.co/dQJtXb78sG
— axi0mX (@axi0mX) September 27, 2019
Odkrycia, pozwalającego zrealizować jailbreak dla znacznej części urządzeń iOS, niezależnie od zainstalowanej na nich wersji systemów operacyjnych, dokonał haker pod nickiem axi0mX. Nazwał on odkryty exploit checkm8, czyli „szach i mat”. To pierwsza luka w programie ładującym iPhone’a, która została odkryta. Nie jest wykluczone, że wiedzieli o niej producenci sprzętu dla służb specjalnych, które umożliwia pobieranie danych z iPhone.
HACKED! Verbose booting iPhone X looks pretty cool. Starting in DFU Mode, it took 2 seconds to jailbreak it with checkm8, and then I made it automatically boot from NAND with patches for verbose boot. Latest iOS 13.1.1, and no need to upload any images. Thanks @qwertyoruiopz pic.twitter.com/4fyOx3G7E0
— axi0mX (@axi0mX) September 29, 2019
Apple nie jest w stanie zmienić kodu zaszytego w procesorze więc luka póki co pozostaje nienaprawialna. Axi0mX pozwoli stworzyć jailbreak dla większości istniejących obecnie w rękach użytkowników iPhone i iPad. Procedura checkm8 ma jednak swoje ograniczenia: wymaga fizycznego dostępu do urządzenia i pozwala tylko na „przywiązany” jailbreak (czyli należy go powtarzać przy każdym uruchomieniu).
Ważne jest również to, że nie omija on zabezpieczenia TouchID i Secure Enclave. Czyli nawet jeśli chroniony kodem PIN iPhone wpadnie w niepowołane ręce, to checkm8 nie pozwoli na dostęp do danych użytkownika.
Zostaw komentarz