iMessage Bug Ziel der Chat-Verlauf nach einem Klick ausgesetzt

Apple hat eine große Schwachstelle in iMessage gepatcht, die Angreifer erlaubt einen Zielnachrichtenverlauf durch einen falschen Link zu ziehen. Einmal angeklickt, zogen die Verbindungsdaten aus der iMessage-Anwendung und exportierten es zu einer externen Quelle. Apples größeren Sicherheitsschutz verhindert den Angriff von Malware installieren oder Daten von außerhalb der iMessage-Anwendung ziehen, aber es stellt nach wie vor eine erhebliche Datenschutzverletzung für Schäden, die durch einen Klick auf den falschen Link versucht Benutzer.

Der Angriff richtete sich hauptsächlich die OS X-Version von iMessage, könnte aber auch Nachrichten von iPhones erholen, wenn das Ziel SMS-Weiterleitung aktiviert. Der Fehler wurde von einem Trio von Forschern entdeckt - Joe DeMesy und Shubham Shah, mit Hilfe von Matt Bryant von Uber Sicherheitsteam - wer es an Apple gemeldet, bevor die Details des Angriffs öffentlich zu machen. Es gibt keine Beweise dafür, die Anfälligkeit für kriminelle Zwecke genutzt wurde, bevor geflickt werden.

Der neue Fehler kommt nur wenige Wochen nach der Forscher an der Johns Hopkins einen Weg veröffentlicht schickte Fotos und Videos anschauen zu können, eine Schwachstelle, die mit iOS 9.3 gepatcht wurde. Dieser Angriff durch getarnt als Apple-Server gearbeitet, dann Brute-Forcing der resultierende Verschlüsselung, bis die Medien decodiert wurden.

Während mächtig, verließ sich der Angriff relativ grundlegende Sicherheits Taktik auf, Javascript-Code anstelle einer iMessage URL in einem klassischen Cross-Scripting-Angriff. Apple-gepatchten gegen die Technik mit der CVE-2016-1764-Update im letzten Monat. Das Unternehmen nicht sofort auf eine Anfrage für eine Stellungnahme reagieren; wir diesen Beitrag mit jeder Antwort aktualisieren.