Злоумышленники могут проникнуть в смартфон даже без перехода пользователя по вредоносной ссылке. О критической уязвимости, обнаруженной в iMessage — фирменном мессенджере Apple, сообщается в аккаунте криптокошелька Trust Wallet. Как утверждают создатели криптосервиса, эксплойт нулевого дня для iMessage уже продается в даркнете.
Судя по выложенному скриншоту объявления, вредоносный код оценивается в $2 млн. Его особенность заключается в том, что для проникновения в устройство злоумышленникам не нужно направлять жертве ссылку для перехода. Возможно, речь идет об атаке с «нулевым щелчком» — когда для начала взлома не требуется действий пользователя. Отмечается, что корпорация Apple проинформирована об уязвимости, однако комментариев от нее пока не последовало. Вероятно, разработчики намерены закрыть пробел в безопасности в новом обновлении. Пока же пользователям «яблочной» продукции эксперты рекомендуют отключить фирменный iMessage. Сделать это можно в настройках, перейдя в раздел «Сообщения», где следует перевести ползунок iMessage в неактивное положение. Впрочем, ряд экспертов полагает, что объектами атаки хакеров могут стать лишь активные пользователи криптокошельков, а обычным пользователям iPhone она не грозит. Примечательно, что безопасность iMessage уже становилась предметом критики: уязвимость мессенджера позволила злоумышленникам использовать секретное шпионское ПО Pegasus, с помощью которого прослушивались телефоны некоторых государственных деятелей, сотрудников СМИ и оппозиционеров в ряде стран. Как поясняют в «Лаборатории Касперского», эксплойт нулевого дня — метод, используемый злоумышленниками для атаки на системы с не выявленными ранее уязвимостями. Термин «нулевой день» обозначает, что обнаруженная неизвестная для разработчиков уязвимость может быть использована злоумышленниками в настоящий момент — у производителей программы есть ноль дней для ее исправления.
Свежие комментарии