Kwetsbaarheid in iOS 12 laat aanvallers toe bestanden van Apple toestellen te downloaden zonder tussenkomst van de gebruiker
CVE-2019-8646 (Natalie Silvanovich of Google Project Zero)
Bronnen
Risico’s
Data exfiltratie vanop afstand zonder tussenkomst van de gebruiker.
Beschrijving
Een aanvaller kan een speciaal gemakt iMessage bericht sturen naar een kwetsbaar Apple iOS toestel, met als gevolg dat toegang tot data vanop afstand mogelijk is. Tenzij u wilt dat uw foto’s, berichten, etc... gelekt worden op het Internet, moet u meteen uw iOS toestel patchen naar versie 12.4 of hoger.
Analyse
Het probleem wordt veroorzaakt door de _NSDataFileBackedFuture klasse die gedeserializeerd kan worden, zelfs wanneer “secure encoding” ingeschakeld is. Dit leidt tot twee grote problemen:
- Toegang tot lokale bestanden is toegelaten als de code dat de buffer deserializeerd, geheugen deelt hiermee.
- Een NSData object met de lengte van zijn byte array kan aangemaakt worden, wat leidt tot het lezen en mogelijks ook schrijven van data vanop afstand.
Deze acties kunnen leiden tot het exfiltreren van data zoals de SMS database of binaire bestanden (zoals foto’s) zonder tussenkomst van de gebruiker.
Aanbevolen acties
CERT.be raadt alle gebruikers van Apple iOS-apparaten aan om hun apparaten te upgraden naar de nieuwste versie van iOS.
Opmerking: Alleen iPhone 5's en nieuwere modellen, iPad Air (en nieuwere iPad-modellen), iPod Touch 6e generatie (en nieuwer) kunnen iOS 12 gebruiken. Deze kwetsbaarheid bestaat alleen in iOS 12.