USB-Cへの移行、欧州連合によって課され、Appleによって長い間拒否されてきたが、最初の弱点が明らかになりました。コンピュータセキュリティ研究者が最近発見したACE3 コントローラーの懸念される脆弱性、ブランドの新しいデバイスの充電とデータ転送を管理する中心的なコンポーネントです。
サイバーセキュリティ専門家であるトーマス・ロス氏は、第 38 回カオス コミュニケーション コングレス (倫理的ハッカーと、アプリケーション開発者およびジャーナリスト)この脆弱性の技術的なデモンストレーション。後者は、ACE3 コントローラーのハードウェア抽象化レイヤーに存在します。このインターフェイスは、すべての USB-C 通信をフィルタリングして検証することになっていますが、検証ロジックに欠陥がある。
したがって、攻撃者は USB-C プロトコルの初期化シーケンスを操作して、不正なコマンドを挿入する可能性があります。さらに心配なのは、こうした操作が実行される可能性があることです。改造された USB-C アクセサリ経由これらはシステムの目には完全に合法的に見えます。
Cyber Security News が公開した分析によると、この欠陥は iOS の統合アーキテクチャにより特定の側面を帯びています。 ACE3 コントローラには、システムコンポーネントへの特権アクセスこれは悪意のある人にとって真に開かれた扉であり、iOS の最も基本的なセキュリティ メカニズムを回避することができます。このようにして攻撃シナリオにより、次のようなものがインストールされる可能性があります。マルウェア頑強で、システムの再起動にも耐えることができます。
ユーザーのセキュリティに関する具体的なリスク
具体的にはどういう意味でしょうか?理論的には、攻撃者は、システムとの目に見えない通信チャネルを確立できる、一見無害な USB-C アクセサリを設計する可能性があります。これらの悪意のあるデバイスにより、個人データを密かに抽出するため: 写真、連絡先、メッセージ、銀行識別子。ユーザーの疑惑を引き起こすことなく、携帯電話の動作を微妙に変更することができます。
安心ポイント:誰にとってもそうではない。現在、このような攻撃を実装するには、高度な技術スキルと iOS アーキテクチャに対する優れた理解が必要です。ただし、この脆弱性を詳細に文書化すると、この技術的な障壁が徐々に低くなるリスクがあり、このリスクは短期的には現実のものとなります。
このような状況に直面したアップルは、まだ修正について連絡も提案もしていない。ブランドからの正式な返答を待つ間、特にサードパーティの USB-C アクセサリを使用する場合は注意してください。起源が不明または疑わしいもの。ただし、平均的なユーザーが攻撃の標的になる可能性は低いです。整理するのがとても複雑。
- 新しい iPhone の USB-C コントローラーに重大な欠陥があるため、改造されたアクセサリを介した攻撃が可能になる可能性があります。
- ハッカーはこの脆弱性を悪用して機密データにアクセスしたり、マルウェアをインストールしたりする可能性があります。
- Apple からのパッチがない場合は、出所が不確かな USB-C アクセサリは避けることをお勧めします。
i-nfo.fr - 公式 iPhon.fr アプリ
提供者: Keleops AG