सुरक्षा शोधकर्ताओं का कहना है कि उन्होंने कमजोरियों के एक “नए वर्ग” का खुलासा किया है जो हमलावरों को उपयोगकर्ताओं के संवेदनशील डेटा तक पहुंचने के लिए iOS और macOS में Apple की सुरक्षा सुरक्षा को बायपास करने की अनुमति दे सकता है।
ट्रेलिक्स के एडवांस्ड रिसर्च सेंटर ने विशेषाधिकार वृद्धि भेद्यता के इस सप्ताह विवरण प्रकाशित किए – जिसका अर्थ है कि वे किसी को सिस्टम तक पहुंच का एक उन्नत स्तर प्राप्त करने की अनुमति देते हैं – जो आईफ़ोन और मैक दोनों को प्रभावित करते हैं। ट्रेलिक्स ने चेतावनी दी है कि मध्यम से लेकर उच्च स्तर तक के बग्स की श्रेणी – यदि पैच न किए गए – दुर्भावनापूर्ण ऐप्स को उनके सुरक्षात्मक “सैंडबॉक्स” से बचने और किसी व्यक्ति के संदेश, स्थान डेटा, कॉल इतिहास सहित किसी के डिवाइस पर संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकते हैं। , और तस्वीरें।
ट्रेलिक्स के निष्कर्ष Google और सिटीजन लैब के पहले के शोध का अनुसरण करते हैं, जिसने 2021 में एक नए शून्य-दिन के शोषण की खोज की जबर्दस्ती प्रविष्टि इजरायली स्पाइवेयर निर्माता NSO ग्रुप द्वारा अपने सरकारी ग्राहकों के कहने पर दूर से और चुपके से iPhones में हैक करने के लिए इसका दुरुपयोग किया गया था। सेब बाद में अपने डिवाइस सुरक्षा सुरक्षा को मजबूत किया नए कोड-हस्ताक्षर शमनों को जोड़कर, जो कि क्रिप्टोग्राफ़िक रूप से सत्यापित करते हैं कि डिवाइस का सॉफ़्टवेयर विश्वसनीय है और इसे संशोधित नहीं किया गया है, ताकि शोषण के शोषण को रोका जा सके।
लेकिन ट्रेलिक्स ने इस हफ्ते कहा कि ऐप्पल द्वारा किए गए शमन इसी तरह के हमलों को रोकने के लिए अपर्याप्त हैं।
में एक ब्लॉग पोस्टट्रेलिक्स ने कहा कि नए बग शामिल हैं एनएसपीडिकेट, ए टूल जो डेवलपर्स को कोड को फ़िल्टर करने की अनुमति देता है, जिसके चारों ओर Apple ने एक प्रोटोकॉल के माध्यम से ForcedEntry बग के बाद प्रतिबंधों को कड़ा कर दिया NSPredicateVisitor. लेकिन ट्रेलिक्स ने कहा कि लगभग हर कार्यान्वयन NSPredicateVisitor “बाईपास किया जा सकता है।”
जबकि ट्रेलिक्स ने यह सुझाव देने के लिए कोई सबूत नहीं देखा है कि इन कमजोरियों का सक्रिय रूप से शोषण किया गया है, साइबर सुरक्षा कंपनी टेकक्रंच को बताती है कि इसके शोध से पता चलता है कि आईओएस और मैकोज़ अन्य ऑपरेटिंग सिस्टमों की तुलना में “स्वाभाविक रूप से अधिक सुरक्षित नहीं हैं”।
ट्रेलिक्स में भेद्यता अनुसंधान के निदेशक डौग मैककी ने कहा, “इस सप्ताह हमारी टीम द्वारा उजागर की गई कमजोरियों ने मौलिक रूप से उनके सुरक्षा मॉडल को तोड़ दिया है।” संवेदनशील डेटा तक अनुचित पहुंच को आसान बना दिया। “ये बग अनिवार्य रूप से एक हमलावर को बहुत अधिक विशेषाधिकार प्राप्त करने के लिए कम विशेषाधिकार प्राप्त कोड निष्पादन, यानी, macOS या iOS पर बुनियादी कार्यों को प्राप्त करने की अनुमति देते हैं।”
Apple ने जनवरी में जारी किए गए अपने macOS 13.2 और iOS 16.3 सॉफ़्टवेयर अपडेट में ट्रेलिक्स की कमजोरियों को ठीक किया। सेब का सुरक्षा समर्थन दस्तावेज नए पैच की रिलीज़ को दर्शाने के लिए मंगलवार को भी अपडेट किए गए थे।
विल स्ट्राफैक, एक सुरक्षा शोधकर्ता और के संस्थापक गार्जियन फ़ायरवॉल ऐपकमजोरियों को “बहुत चालाक” के रूप में वर्णित किया, लेकिन चेतावनी दी कि इन खतरों के बारे में औसत उपयोगकर्ता बहुत कम कर सकता है, “सुरक्षा अद्यतन स्थापित करने के बारे में सतर्क रहने के अलावा।”
आईओएस और मैकोज़ सुरक्षा शोधकर्ता वोज्शिएक रेगुला ने टेकक्रंच को बताया कि जबकि कमजोरियां महत्वपूर्ण हो सकती हैं, शोषण की अनुपस्थिति में, यह निर्धारित करने के लिए अधिक विवरण की आवश्यकता है कि यह हमले की सतह कितनी बड़ी है।
जेम्फ के माइकल कोविंगटन ने कहा कि डिवाइस डेटा की सुरक्षा के लिए ऐप्पल के कोड-हस्ताक्षर उपाय “चांदी की गोली या अकेला समाधान होने का इरादा नहीं था”। कोविंगटन ने कहा, “कमजोरियां, हालांकि उल्लेखनीय हैं, यह दर्शाती हैं कि अच्छी सुरक्षा मुद्रा बनाए रखने के लिए स्तरित सुरक्षा कितनी महत्वपूर्ण हैं।”
संपर्क करने पर, Apple ने ऑन-द-रिकॉर्ड टिप्पणी नहीं दी।