Stagefright za iPhone

Sjećate li se ozbiljnog propusta za Androidom pogonjene uređaje, nazvanog Stagefright? Uistinu nezgodan propust kojim je napadač mogao, slanjem posebno formatirane MMS poruke, provaliti na mobilni uređaj.

Ako je itko od korisnika iOS uređaja do sad imao kompleks superiornosti nad korisnicima Androida ("nama se tako nešto nikad ne bi moglo dogoditi"), vrijeme je za otrežnjenje: propust CVE-2016-4631 u Image I/O API dozvoljava napadaču da na vrlo sličan način, slanjem posebno formatirane TIFF datoteke izvrši maliciozni kod korištenjem heap overflow napada.

Zanimljivo je da je riječ o propustu koji, slijedom slučajnih događaja, neodoljivo podsjeća na Stagefright: u oba slučaja otkriveni su nedostaci u biblioteci koja se bavi nekim multimedijalnim sadržajem i koja je dio operacijskog sustava (što znači da postoji mnogo potencijalnih mjesta upada, faktički svaka aplikacija koja koristi ranjivu biblioteku je izložena napadu). Način provale je vrlo sličan u oba slučaja, a i najkritičniji dio propusta: vektor prijenosa malicioznog koda – u oba slučaja je gotovo identičan.

Prema navodima Cisco TALOS grupe koja je otkrila ove nedostatke, formati grafičkih datoteka osjetljivi na napade su TIFF, BMP, EXR (OpenEXR) i DAE (Digital Asset Exchange/COLLADA).

Platforme izležene ovoj ranjivosti su OS X Mavericks, OS X Yosemite, OSX El Capitan, iOS 9.3.2, watchOS 2.2.1 i tvOS 9.2.1.

Srećom, Apple je u mogućnosti izdati centralizirane zakrpe za sve svoje operacijske sustave, što rješavanje ovog problema čini značajno lakšim u odnosu na Stagefright i fragmentiranu Android platformu. Time je i rješenje ovog problema posve trivijalno, jednom riječju: "update".