Osoba trzyma smartfon wyświetlający wymianę wiadomości tekstowych na tle roślinności w aplikacji iMessage.
Tech

Luka bezpieczeństwa w urządzeniach z iOS. Ujawnili ją twórcy… Trust Wallet

5 minut czytania
Komentarze

Twórcy portfela kryptowalut Trust Wallet twierdzą, że mają „wiarygodne informacje” o luce typu zero-day, która dotyczy usługi iMessage dla użytkowników urządzeń Apple. Jest o tyle niebezpieczna, że umożliwiałaby atakującym włamanie się na wybrane iPhone’y bez konieczności klikania w żadne linki. Jednak sporo osób wątpi w istnienie tej luki – i mają ku temu mocne podstawy.

Dłoń trzymająca smartfon z otwartą stroną główną aplikacji nad klawiaturą laptopa.
Fot: cottonbro studio / pexels.com

Czym są luki zero-day i luki zero-klik?

Luka zero-dniowa (zero-day, 0-day) to luka w zabezpieczeniach oprogramowania, która jest nieznana producentowi oprogramowania. Oznacza to, że nie ma dostępnej łatki ani poprawki i może ona zostać wykorzystana przez osoby atakujące, zanim zostanie naprawiona. Nazwa „zero-dniowa” pochodzi od faktu, że twórcy oprogramowania mają „zero dni” na jej naprawę, gdyż jest już ona eksploatowana przez hakerów. Luki te są szczególnie niebezpieczne, ponieważ wiedzą o nich tylko osoby atakujące.

Z kolei luka typu zero-klik (0-click) pozwala na zainfekowanie urządzenia bez ingerencji użytkownika. Oznacza to, że użytkownik nie musi klikać w podejrzane linki, otwierać zainfekowanych załączników ani wykonywać żadnych innych czynności, aby stać się ofiarą ataku. Jak odbywa się atak za pomocą tej luki? Przestępcy wysyłają do ofiar specjalnie spreparowane wiadomości tekstowe, e-maile lub wiadomości MMS. Wiadomości te mogą zawierać złośliwy kod, który jest automatycznie uruchamiany na urządzeniu ofiary po otwarciu wiadomości lub nawet tylko po jej wyświetleniu na liście wiadomości.

Trust Wallet ostrzega użytkowników urządzeń z iOS

Trust Wallet utrzymuje, że otrzymał informację, która później została potwierdzona, o hakerze, który twierdzi, iż ma możliwość wykorzystania luki zero-day w iMessage. Oto informacja dla użytkowników iOS, którą Trust Wallet podzielił się w serwisie X:

Zrzut ekranu tweeta od Trust Wallet z ostrzeżeniem dla użytkowników iOS o wykryciu wiarygodnych informacji dotyczących exploita zero-day celującego w iMessage na Dark Web, który może przenikać do iPhone'a bez klikania w linki.
Tłumaczenie: Alert dla użytkowników iOS: Mamy wiarygodne informacje dotyczące exploita dnia zerowego wysokiego ryzyka, którego celem jest iMessage w Dark Web. Może to przeniknąć do Twojego iPhone’a bez klikania żadnego łącza. Prawdopodobne są cele o dużej wartości. Każde użycie zwiększa ryzyko wykrycia. Fot. X.com / zrzut ekranu
Zrzut ekranu tweetu Trust Wallet zalecającego wyłączenie iMessages na urządzeniach Apple w celu ochrony przed wykorzystaniem luki do czasu wydania przez firmę Apple stosownej łatki. Tweet zawiera instrukcje krok po kroku i hashtag #SAFU.
Tłumaczenie: Zalecane działanie w celu ochrony przed tym exploitem iMessage; wyłącz iMessages JAK NAJSZYBCIEJ, dopóki Apple tego nie naprawi. Przejdź do Ustawienia -> Wiadomości -> wyłącz iMessage. Zachowaj ten środek ostrożności do czasu wydania przez firmę Apple poprawki zabezpieczeń. Twoje bezpieczeństwo jest naszym priorytetem. Fot. X.com / zrzut ekranu

Trust Wallet radzi użytkownikom wyłączyć iMessage aż do momentu, gdy Apple wyda poprawkę.

Exploit na sprzedaż. Czy to fake?

Firma twierdzi, że odkryła lukę zero-day w systemie iOS podczas monitorowania dark webu, gdzie atakujący na jednym z forów internetowych oferowali exploit na sprzedaż za 2 miliony dolarów.

Zrzut ekranu z Twittera użytkownika Eowync.eth informujący o wykryciu przez Threat Intel eksploitu zero-click dla iOS iMessage oferowanego na Dark Webie; cena wynosi 2 mln USD. W tle widoczna strona Dark Webu z ogłoszeniem o sprzedaży eksploitu iMessage.
Tłumaczenie: Według wykrytych informacji dotyczących bezpieczeństwa, na darknecie wystawiono na sprzedaż lukę zero-day w iMessage dla systemu iOS. Jest to luka typu zero-klik, która umożliwia przejęcie kontroli nad telefonem za pomocą iMessage. Cena wywoławcza wynosi 2 miliony dolarów. Taka luka miałaby sens w przypadku ataków na bardzo wartościowe cele, ponieważ im częściej jest wykorzystywana, tym większe prawdopodobieństwo, że zostanie wykryta przez badaczy bezpieczeństwa. Fot. X.com / zrzut ekranu

Jednak niektórzy użytkownicy platformy X pozostają nieprzekonani co do istnienia luki. Jeden z nich dość dosadnie skrytykował firmę za jej twierdzenia, twierdząc, że Trust Wallet w rzeczywistości ma jedynie „zrzut ekranu od faceta, który twierdzi, że ma lukę„.

To, że mamy do czynienia z fałszywym źródeł, zdaje się potwierdzać post zamieszczony przez Kerberus Sentinel3. Wskazuje, że strona w dark webie, na której oferowany jest cały pakiet luk typu zero-day, została stworzona przez ChatGPT, więc jej wiarygodność oraz skuteczność oferowanych na niej narzędzi jest praktycznie zerowa. Dosłownie nazwane jest to fejkiem:

Zrzut ekranu z Twittera, gdzie użytkownik Kerberus Sentinel3 dzieli się swoimi przemyśleniami na temat rzekomej sprzedaży exploitów zero-day. Zawiera tweet napisany w języku angielskim, krytykujący wiarygodność informacji i zachęcający do konsultacji z ekspertami bezpieczeństwa. Poniżej znajdują się dwa zrzuty ekranu pokazujące kod strony internetowej z wyróżnionymi elementami kodu JavaScript związane z ChatGPT.
Nie spodziewaliśmy się, że będzie to nasz pierwszy tweet po rebrandingu, ale po tak dużej panice… Szybko sprawdziliśmy kod strony internetowej używanej do sprzedaży rzekomego 0-day i jest on pełen podstawowego kodu js ChatGPT i komentarzy z ChatGPT. Zatem… haker, który znalazł 0-day, potrzebuje ChatGPT do stworzenia swojej witryny. To oczywiste, że jest to fałszywe. Podobnie jak wszystkie inne wielkie marki reklamowane w ramach tej strony. Media muszą działać lepiej i konsultować się z ekspertami ds. bezpieczeństwa, takimi jak @an7i21 przed opublikowaniem wiadomości, które mogą wywołać masową panikę. Fot. X.com / zrzut ekranu

Oczywiście poczekamy na rozwój wypadków i uzyskanie potwierdzenia, że luka faktycznie istnieje. Ale możliwe, że nie ma co niepotrzebnie robić zamieszania i firma nie do końca zweryfikowała wiarygodność źródła. Zawsze jednak warto informować i ostrzegać, nawet jeśli są to tylko podejrzenia. Ostrożności i dbania o prywatność w sieci nigdy za wiele.

Źródło: CyberNews, Zdjęcie otwierające: prykhodov / Depositphotos

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Motyw