Lansat in aceasta seara de catre compania Apple, iOS 9.3.5 rezolva trei vulnerabilitati majore de securitate care au fost folosite pentru a extrage date din iDevice-uri. Vorbim despre exploit-uri folosite in software lansat de catre NSO Group, o companie specializata pe extragerea de date din produsele companiei Apple.
Aceste trei vulnerabilitati ale iOS 9.3.5 ii permiteau companiei israeliene NSO Group sa monitorizeze locatia unui iPhone sau a unei tablete iPad fara ca utilizatorul sa stie, sa citeasca mesaje text sau email-uri, sa monitorizeze apelurile telefonice, sa inregistreze tot ceea ce se intampla in jurul terminalelor, sa preia parolele din dispozitiv, sa monitorizeze locatia utilizatorului si sa preia intreaga agenda de contacte.
Conform unei publicatii americane, cei de la NSO Group au vandut software catre guverne care l-au folosit pentru a spiona jurnalisti si dizidenti, iar iOS 9.3.5 rezolva problema. Apple a aflat despre vulnerabilitati acum 10 zile de la Bill Marczak si John Scott Railton, primul fiind cercetator in cadrul Facultatii Calugarilor pentru Afaceri Globale, al doilea fiind angajat al Lookout, o companie din San Francisco.
Cati bani a platit Apple pentru aceste vulnerabilitati nu stim, dar probabil este vorba despre cateva sute de mii de dolari care au ajuns in conturile celor doi. Apple a initiat recent un program de recompensare a divulgarii vulnerabilitatilor existente in iOS, oferind pana in 200.000 de dolari celor care coopereaza cu ea.
Compania Apple a avut de spus urmatoarele, “Le recomandam tuturor clientilor nostri sa descarce intotdeauna cea mai recenta versiune a iOS pentru a se proteja impotriva posibilelor exploit-uri de securitate.”
Acestea fiind spuse, acum stim si ce aduce nou iOS 9.3.5, deci vorbim despre un update care ar trebui instalat de catre toata lumea pentru ca nu aveti ce pierde, daca nu folositi jailbreak. Puteti instala iOS 9.3.5 folosind sistemul Software Update existent in sectiunea General a aplicatiei Settings, Configurari.
UPDATE: Aceste vulnerabilitati fusesera rezolvate in iOS 10 beta 7, iar asa se explica de ce a fost lansat acel update acum o saptamana.
“Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to disclose kernel memory
Description: A validation issue was addressed through improved input sanitization.
CVE-2016-4655: Citizen Lab and Lookout
Kernel
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: An application may be able to execute arbitrary code with kernel privileges
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4656: Citizen Lab and Lookout
WebKit
Available for: iPhone 4s and later, iPad 2 and later, iPod touch (5th generation) and later
Impact: Visiting a maliciously crafted website may lead to arbitrary code execution
Description: A memory corruption issue was addressed through improved memory handling.
CVE-2016-4657: Citizen Lab and Lookout”