Компания OTUS рассмотрела несколько способов, с помощью которых злоумышленники могут негативно повлиять на ОС iOS. Эксперты подчеркнули, что данные актуальны последние три года.
Одна из уязвимостей - CVE-2018-4344. Исправлена полностью она была, по словам компании, только в предпоследней версии ОС iPhone - iOS 13. Расположена она в системном вызове lio_listio, впоследствии это может привести к условию Race Condition. В итоге, если воспользоваться этой недоработкой, вероятно освобождение памяти по одному и тому же адресу несколько раз, а это станет причиной UAF уязвимости.
Ещё одна уязвимость - CVE-2021-1782 - была исправлена после обнаружения, что она используется хакерами с целью атаки на пользовательские устройства.
Наконец, выделяется третья уязвимость, которую исправить программно нельзя. Она находится в режиме DFU (низкоуровневое восстановление системы) и добавлена в набор инструментов checkm8.
Автор материала призвал помнить, что любое программное обеспечение может подвергнуться хакерской атаке. Поэтому при разработке приложения нужно стараться программировать его как можно более безопасно.
Одна из уязвимостей - CVE-2018-4344. Исправлена полностью она была, по словам компании, только в предпоследней версии ОС iPhone - iOS 13. Расположена она в системном вызове lio_listio, впоследствии это может привести к условию Race Condition. В итоге, если воспользоваться этой недоработкой, вероятно освобождение памяти по одному и тому же адресу несколько раз, а это станет причиной UAF уязвимости.
Ещё одна уязвимость - CVE-2021-1782 - была исправлена после обнаружения, что она используется хакерами с целью атаки на пользовательские устройства.
Наконец, выделяется третья уязвимость, которую исправить программно нельзя. Она находится в режиме DFU (низкоуровневое восстановление системы) и добавлена в набор инструментов checkm8.
Автор материала призвал помнить, что любое программное обеспечение может подвергнуться хакерской атаке. Поэтому при разработке приложения нужно стараться программировать его как можно более безопасно.
