iOS მობილურ პლატფორმაზე iMessage – ის შეტყობინებების მეშვეობით აღმოჩენილი ექვსი სისუსტიდან, ოთხის მეშვეობით შესაძლებელია დისტანციურად კოდის გაშვება.
Google Project Zero- ს მკვლევარებმა ნატალი სილვანოვიჩმა და სამუელ გროსმა აღმოაჩინეს ექვსი მოწყვლადობა iOS – ში. ამ მოწყვლადობების ექსპლუატირება შესაძლებელია iMessage კლიენტის მეშვეობით, მომხმარებლის ჩართულობის გარეშე. ხუთი სისუსტისთვის მკვლევარებმა გამოაქვეყნეს PoC (proof of concept) ექსპლოიტები.
22 ივლისს iOS 12.4 ვერსიის გამოსვლისთანავე ექვსივე სისუსტე იყო აღმოფხვრილი. მაგრამ, ამასთან ერთად მკვლევარების მიერ ჯერჯერობით არ იყო გახსნილი ერთი სისუსტის დეტალები (CVE-2019-8641), რადგან ოპერაციული სისტემის ბოლო ვერსიაში ეს კონკრეტული მოწყვლადობა ბოლომდე არ იყო გასწორებული.
ოთხი სისუსტე (CVE-2019-8641, CVE-2019-8647 , CVE-2019-8660 და CVE-2019-8662 ) ექვსიდან დისტანციურად კოდის გაშვების საშუალებას იძლევა, რაც არ მოითხოვს მომხმარებლის მონაწილეობას. თავდასხმის განსახორციელებლად, საკმარისია მსხვერპლის ტელეფონზე გაიგზავნოს სპეციალურად კონფიგურირებული შეტყობინება. წერილის გახსნის შემდეგ მოწყობილობაზე ეშვება მავნე კოდი.
CVE-2019-8624 და CVE-2019-8646 მოწყვლადობების მეშვეობით, ბოროტმოქმედს შეუძლია მიიღოს წვდომა და მონაცემები დისტანციურად წაიკითხოს. თავდასხმის განსახორციელებლად მსხვერპლის მხრიდან ქმედება არ არის საჭირო.
მიღებული ინფორმაციის შესაძენად ექსპლოიტებით ვაჭრობაზე ორიენტირებული ორგანიზაციები არიან მზად გადაიხადონ სოლიდური თანხა. მაგალითად, Zerodium – ის პრაის ლისტის თანახმად, მათი საერთო ღირებულება შეადგენს დაახლოებით $10 000 000.
