May Really a Stagefright-esque Exploit for iPhones and Macs?

Noong Martes, binanggit ng cybersecurity firm na si Cisco Talos ang isang pangunahing kahinaan ng produkto ng Apple. Ito ay pinatutugtog ngayon, hangga't ina-update mo ang iyong software sa lalong madaling panahon, ikaw ay maligtas. Hanggang pagkatapos, lang load isang larawan - maging sa maling website, sa pamamagitan ng isang iMessage o MMS, o sa pamamagitan ng isang email na attachment - ay maibibigay ang iyong buong hanay ng mga virtual na key.

Hindi inilalabas ng Apple ang impormasyon tungkol sa mga kahinaan hanggang sa ma-patched na ito, dahil ang mga hacker ay maaaring magkaroon ng mga araw ng pag-abuso sa kanila. Inilabas ng Apple ang patch sa Lunes, bagaman hindi nagbahagi ng maraming mga detalye. Ang paliwanag ng patch sa parehong mga tala ng release ng iOS at OS X ay nagsasaad lamang na ang "remote attacker ay maaaring ma-execute arbitrary code."

Ngunit ang Cisco Talos ay nagsasabi sa ibang kuwento: ang masamang uri ng file na pinag-uusapan ay isang TIFF - isang file ng imahe na kapaki-pakinabang para sa mga graphic designer at photographer, dahil ito ay isang mahalagang kumplikado, walang pagkawala ng file ng larawan. Ngunit para sa parehong mga dahilan, ang TIFFs ay kapaki-pakinabang sa mga hacker.

"Ang mga file ng imahe ay isang mahusay na vector para sa mga pag-atake dahil madali silang mapapamahagi sa web o trapiko ng email nang hindi naitataas ang hinala ng tumatanggap," writes Cisco Talos. ImageIO API ng Apple - na kung saan ang mga produkto ng Apple ay gumagamit upang mag-load o kung hindi man ay makikitungo sa iba't ibang mga uri ng file ng imahe - ay, hanggang sa pag-update na ito, mishandling TIFF file. Sa loob nito ay itinago ang mahinang punto. Ayon sa Cisco Talos, "isang espesyal na ginawa TIFF file ng imahe ay maaaring gamitin upang lumikha ng isang tumpak na buffer overflow batay at sa huli makamit ang remote code pagpapatupad sa mahina na mga sistema at mga aparato."

Ang ImageIO ay nasa lahat ng iyong mga produkto ng Apple, at maaaring maging TIFFs din. Ang isang nakakahamak na pop-up ay maaaring magkaroon ng TIFF, gaya ng maaaring iMessage o MMS. Ang mga gumagamit ay hindi na kailangan upang buksan o i-download ang isang file upang maging nanganganib, dahil sa ilang mga application, tulad ng iMessage, ang ImageIO nagpapagana ng mga file sa sarili nitong, at iyan ang kailangan.

Tinutukoy ng maraming mga outlet ng balita ang bug sa tinatawag na Stagefright malware, na isang bona fide Android exploit. Ngunit ang mga eksperto sa seguridad ay hindi kumbinsido na ang kahinaan ay anumang bagay na panic tungkol sa.

Ang tanging lugar na kinukuha ng bug na ito sa iyong iPhone ay nasa over-hyped headline na ito.

- Jonathan Zdziarski (@JZdziarski) Hulyo 22, 2016

Tinukoy ng Cisco Talos ang katotohanang ito maaari mangyari, hindi na ito ay nangyayari. Ngunit ito pa rin ang tooting cautionary horns: "Bilang kahinaan na ito nakakaapekto sa parehong OS X 10.11.5 at iOS 9.3.2 at pinaniniwalaan na naroroon sa lahat ng mga nakaraang bersyon, ang bilang ng mga apektadong aparato ay makabuluhan." Hangga't magpatuloy ka at i-update ang software na iyon, magaling ka.