Ang pagkakaiba-iba ng bug mula 1970 ay maaaring mga brick device na may bersyon nang mas maaga sa iOS 9.3.1

Bug 1970

Kabilang sa maraming mga bagong tampok na kasama ng iOS 9.3 mayroong isa na nalutas ang isang bug kung saan kung magtakda kami ng isang tukoy na petsa ng 1970, maaaring hindi makapagsimula muli ang iPhone. Ngunit tila ang sumpa ng 1970 ay hindi pa natanggal, dahil ang mga mananaliksik sa seguridad ay natagpuan ang isang pagkakaiba-iba na maaaring magamit brick ang aparato sa paglaon, sa lalong madaling kumonekta ang iPhone sa isang Wi-Fi network. Ang bagong katapangang-gawa gumagamit ng isang kumbinasyon ng dalawang kahinaan na natuklasan sa iOS, tulad ng naiulat KrebsonSecurity.

Ang una sa mga kahinaan na ito ay ang mga aparato ng iOS awtomatikong kumonekta sa mga kilalang network, ngunit umaasa sila sa SSID upang makilala sila. Ang isang iPhone, iPod Touch o iPad ay awtomatikong kumokonekta sa isang nakakahamak na network na gumagamit ng parehong pangalan bilang isa sa mga network na konektado nito sa nakaraan. Ang pangalawang kahinaan ay ang mga aparato ng iOS na naka-program upang patuloy na suriin na ang kanilang mga setting ng petsa at oras ay tama sa pamamagitan ng pagkonekta sa mga server ng NTP.

Bumalik ang 1970 upang banta ang mga aparato gamit ang iOS 9.3 at mas maaga

Ang dapat lamang gawin ng mga mananaliksik sa seguridad ay lumikha ng kanilang sariling Wi-Fi zone na pinangalanang "attwifi", tulad ng ginamit sa Starbucks, at kanilang sariling server ng NTP (Network Time Protocol) na nagpapanggap na sila ay time.apple.com upang maihatid ang petsa Enero 01, 1970.

Ang resulta? Ang mga IPad na dumating sa saklaw ng (masamang) network ng pagsubok ay muling na-reboot at nagsimulang magwasak sa sarili nang paunti-unti. Hindi malinaw kung bakit nila ito ginagawa, ngunit narito ang isang posibleng paliwanag: Karamihan sa mga application sa isang iPad ay naka-configure upang magamit ang mga sertipiko ng seguridad na naka-encrypt na data na ipinadala sa at mula sa aparato ng gumagamit. Ang mga naka-encrypt na sertipiko ay hihinto sa paggana nang maayos kung ang petsa at oras ng mobile system ng isang gumagamit ay nakatakda sa isang taon bago ang paglabas ng sertipiko.

Ang bug ay nauugnay sa nakaraang bug mula noong 1970, ngunit hindi ito pareho, kaya't hindi ito naayos sa paglabas ng iOS 9.3. Ang mga nagdiskubre, ang mga mananaliksik sa seguridad na sina Patrick Kelley at Matt Marrigan, ay nag-ulat ng bug sa Apple at sa mga nasa Cupertino. naayos ito sa iOS 9.3.1. Ginawa ng mga investigator kung ano ang dapat gawin sa mga kasong ito: ipagbigay-alam at sumang-ayon na huwag isapubliko ang katapangang-gawa hanggang sa maayos ito ng responsableng kumpanya. Maaari nating isipin na mas makabubuting huwag kailanman i-publish ito, ngunit sa paggawa nito nakakuha sila ng katanyagan bilang mga mananaliksik sa seguridad. Siyempre, nanganganib nila ang lahat ng mga gumagamit na nasa iOS 9.3 at mga naunang bersyon pa rin.


Interesado ka sa:
Ayon sa Apple, ito ang pinakamabisang kumpanya sa mundo na may seguridad
Sundan kami sa Google News

Maging una sa komento

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: AB Internet Networks 2008 SL
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.