Тэр мессежийг харах төдийд л таны төхөөрөмжийг эвдэж болзошгүй

Агуулгын хүснэгт:

Тэр мессежийг харах төдийд л таны төхөөрөмжийг эвдэж болзошгүй
Тэр мессежийг харах төдийд л таны төхөөрөмжийг эвдэж болзошгүй
Anonim

Үндсэн санаанууд

  • Иргэн лабораторийн илрүүлсэн тагнуулын дуулианд дүн шинжилгээ хийж, Google-ийн аюулгүй байдлын судлаачид 0 товшилтын мөлжлөг гэгддэг шинэ халдлагын механизмыг олж илрүүлжээ.
  • Антивирус гэх мэт уламжлалт аюулгүй байдлын хэрэгслүүд нь товшилтгүй мөлжлөгөөс сэргийлж чадахгүй.
  • Apple нэгийг нь зогсоосон ч судлаачид ирээдүйд тэг товшилттой мөлжлөгүүд нэмэгдэнэ гэж эмээж байна.
Image
Image

Аюулгүй байдлын шилдэг туршлагыг дагах нь зөөврийн компьютер, ухаалаг гар утас зэрэг төхөөрөмжүүдийг аюулгүй байлгахын тулд ухаалаг арга хэмжээ гэж үздэг, эсвэл судлаачид бараг л анзаарагдахгүй шинэ заль мэхийг олж илрүүлэх хүртэл ийм арга хэмжээ авсан.

Пегасус тагнуулын программыг тодорхой зорилтод суулгахад ашиглагдаж байсан Apple-ийн саяхан засварласан алдааг задлан шинжлэх явцад Google-ийн Project Zero-ийн аюулгүй байдлын судлаачид "тэг товшилтоор мөлжлөг" гэж нэрлэсэн шинэлэг халдлагын механизмыг олж илрүүлжээ. ямар ч гар утасны антивирус устгаж чадахгүй.

"Төхөөрөмж ашиглахгүй байхын тулд "тэг товшилтоор ашиглах;'-ээр мөлжлөгөөс урьдчилан сэргийлэх арга байхгүй. Энэ бол ямар ч хамгаалалтгүй зэвсэг" гэж Google Project Zero-ийн инженер Иан Беер, Самуэл Грос нар блогтоо бичсэн байна.

Франкенштейн мангас

Pegasus тагнуулын программ нь АНУ-ын "Аж ахуйн нэгжийн жагсаалт"-д нэмэгдсэн Израилийн технологийн фирмийн NSO группын санаа юм.

"Бид олон нийтийн газар маш их хувийн дуудлага хийдэг гар утсанд нууцлалын талаар ямар үндэслэлтэй тайлбар хийх нь тодорхойгүй байна. Гэхдээ бид хэн нэгэн бидний утсыг сонсохгүй байх нь гарцаагүй. Pegasus нь хүмүүст хийх боломжийг олгодог "гэж Кибер аюулгүй байдлын Gurucul компанийн гүйцэтгэх захирал Сарю Найяр Lifewire руу илгээсэн цахим шуудангаар тайлбарлав.

Эцсийн хэрэглэгчид бид үл мэдэгдэх эсвэл итгэлгүй эх сурвалжаас ирсэн мессежийг нээхээс үргэлж болгоомжлох хэрэгтэй, сэдэв эсвэл мессеж нь хичнээн сэтгэл татам байсан ч…

Pegasus тагнуулын программ нь 2021 оны 7-р сард дэлхий даяарх сэтгүүлчид болон хүний эрхийн төлөө тэмцэгчдийг тагнадаг байсныг Эмнести Интернэшнл илрүүлснээр олны анхаарлын төвд орсон.

Үүний дараа 2021 оны 8-р сард Citizen Lab-ийн судлаачид BlastDoor гэгддэг iOS 14-ийн хамгийн сүүлийн үеийн аюулгүй байдлын хамгаалалтаас зайлсхийсэн мөлжлөгөөр Бахрейны есөн идэвхтнүүдийн iPhone 12 Pro утсанд тандалт хийсэн нотлох баримт олсоны дараа илчилсэн юм..

Үнэндээ Apple компани NSO группын эсрэг шүүхэд нэхэмжлэл гаргаж, Pegasus тагнуулын программаараа дамжуулан Apple-ийн хэрэглэгчдийг хянах iPhone-ийн аюулгүй байдлын механизмыг тойрч гарсанд хариуцлага тооцсон.

"ҮСХ групп зэрэг төрөөс ивээн тэтгэдэг жүжигчид үр дүнтэй хариуцлага тооцохгүйгээр тандалтын нарийн технологид олон сая доллар зарцуулдаг. Үүнийг өөрчлөх хэрэгтэй "гэж Apple-ын Програм хангамжийн инженерчлэл хариуцсан ахлах дэд ерөнхийлөгч Крейг Федерихи нэхэмжлэлийн талаарх хэвлэлийн мэдээнд хэлэв.

Google Project Zero гэсэн хоёр хэсгээс бүрдсэн нийтлэлдээ Beer болон Groß нар NSO групп Pegasus тагнуулч программыг тэг товшилтоор халдлагын механизм ашиглан байнуудын iPhone-ууд руу хэрхэн нэвтрүүлсэн талаар тайлбарласан бөгөөд үүнийг гайхалтай бас аймшигтай гэж тодорхойлсон.

Тэг товшилттой мөлжлөг гэдэг нь яг ийм сонсогдож байна - хохирогчид аюулд өртөхийн тулд ямар нэг зүйлийг товшиж, товших шаардлагагүй. Харин үүний оронд зүгээр л и-мэйл эсвэл мессежийг гэмтээсэн хортой програм хавсаргасан харснаар төхөөрөмж дээр суулгах боломжтой болно.

Image
Image

Гайхалтай, Аюултай

Судлаачдын үзэж байгаагаар халдлага нь iMessage аппликейшн дээрх бусармаг мессежээр эхэлдэг. Хакеруудын зохион бүтээсэн нэлээд төвөгтэй халдлагын аргачлалыг задлахын тулд Lifewire нь бие даасан аюулгүй байдлын судлаач Девананд Премкумараас тусламж авсан.

Premkumar iMessage нь хөдөлгөөнт-g.webp

"Эцсийн хэрэглэгчид бид үл мэдэгдэх эсвэл итгэлгүй эх сурвалжаас ирсэн мессежийг нээхээс үргэлж болгоомжтой байх хэрэгтэй. Гар утсанд нэвтрэх гол цэг болгон ашиглаж байгаа сэдэв эсвэл мессеж хичнээн сэтгэл татам байхаас үл хамааран, " Премкумар Lifewire-д имэйлээр зөвлөжээ.

Премкумар Apple-ийн одоогийн эмзэг байдлыг арилгахын тулд хийсэн алхмуудыг хийж байхдаа одоогийн халдлагын механизм нь зөвхөн iPhone дээр ажилладаг гэдгийг нэмж хэлэв. Гэвч одоогийн довтолгоо хязгаарлагдмал байхад довтолгооны механизм нь Пандорагийн хайрцгийг нээлээ.

Image
Image

"Тэг товшилттой мөлжлөгүүд удахгүй үхэхгүй. Ийм мөлжлөгт өртсөн хэрэглэгчдийн гар утаснаас гаргаж авч болох нууцлаг, үнэ цэнэтэй өгөгдөлд зориулсан өндөр түвшний зорилтот зорилтуудын эсрэг туршиж, байршуулах ийм 0 товшилт бүхий мөлжлөгүүд улам олон байх болно "гэж Премкумар хэлэв.

Үүний зэрэгцээ, ҮСХ-ны эсрэг зарга мэдүүлснээс гадна Apple нь Иргэний лабораторийн судлаачдад техникийн, аюулын тагнуулын болон инженерийн тусламж үзүүлэхээр шийдсэн бөгөөд чухал ажил хийж буй бусад байгууллагуудад ижил тусламж үзүүлэхээ амласан. энэ зайд.

Үүнээс гадна компани нь кибер тандалтын зөрчлийг сурталчлах, сурталчлах ажилд оролцсон байгууллагуудыг дэмжих нэхэмжлэлийн дагуу 10 сая доллар, мөн бүх хохирлыг төлөх хэмжээнд хүрсэн.

Зөвлөмж болгож буй: