Рубрика «iMessage»

Как графический формат прошлого века привёл к zero-click exploit в iOS - 1

Тема информационной безопасности в сфере интересов команды М.Видео и Эльдорадо, поэтому делимся с вами очередным интересным переводным тематическим материалом. В начале 2022 года Citizen Lab удалось выявить zero-click-эксплойт на основе NSO iMessage, использовавшийся для атаки на активиста из Саудовской Аравии.

В этой серии из двух постов мы впервые расскажем, как работает zero-click-эксплойт iMessage.

Судя по нашим исследованиям и открытиям, это один из самых технически сложных эксплойтов, которые нам встречались, ещё больше демонстрирующий, что предоставляемые NSO возможности считались доступными только нескольким государствам.

Рассматриваемая в посте уязвимость была устранена 13 сентября 2021 года в iOS 14.8 в рамках CVE-2021-30860.
Читать полностью »

Security Week 32: дыра в iMessage, приватность голосового ввода - 122 июля Apple выпустила обновление операционной системы iOS до версии 12.4, в котором были закрыты три серьезные уязвимости, обнаруженные экспертом из команды Google Project Zero Натали Сильванович. Самая опасная (CVE-2019-8646) позволяет красть данные с удаленного устройства без вмешательства пользователя. Теоретически возможна и запись произвольной информации, но реальный масштаб потенциального ущерба для владельцев уязвимых смартфонов и планшетов пока до конца не изучен.

Информации по другим уязвимостям пока немного, известно лишь, что одна из них (CVE-2019-8647) может вызвать падение модуля SpringBoard, отвечающего за отрисовку домашнего экрана устройств на базе iOS.

Сильванович выложила Proof of Concept для CVE-2019-8646, реализующий типичный сценарий эксплуатации: подготовленное сообщение в iMessage, при обработке которого на сервер злоумышленника отправляются данные, которые не должны туда отправляться. Посмотрим на эту уязвимость более внимательно и заодно поговорим о человеческом факторе в обработке голосовых сообщений для Siri и других голосовых помощников.
Читать полностью »

Slack, Signal, Hangouts, Wire, iMessage, Telegram, Facebook Messenger… Зачем нам так много приложений для выполнения одной задачи?
Зачем нам столько мессенджеров? - 1

Десятилетия назад научные фантасты представляли себе летающие машины, автоматически готовящие еду кухни и возможность позвонить кому угодно на всей планете. Но они не догадывались, что мы окажемся в аду мессенджеров, имея на руках бесконечное количество приложений, предназначенных для простой отправки текста другу.

Отправка текста превратилась в умственную гимнастику: этот друг не использует iMessage, но ответит, если я отправлю сообщение по WhatsApp. У другого есть WhatsApp, но он там не отвечает, придётся использовать Telegram. Других можно найти через Signal, SMS и Facebook Messenger.

Как мы попали в эту неразбериху мессенджеров, если раньше всё было так просто? Зачем нам целый каталог приложений для отправки сообщений, нужных только для связи с друзьями?
Читать полностью »

Security Week 15: Badlock не впечатлил, больше криптолокеров, еще одна уязвимость в iMessage - 1Предположим, что апокалипсиса не будет. Неверный подход к безопасности новых устройств и софта не приведет к массовому выходу компьютерных систем из строя: ПасьянсОфис не упадет, светофоры не погаснут, машины с автопилотом без проблем довезут людей до дома. Это не значит, что можно кодить безответственно: никто ведь не умрет? Потрясающую историю на прошлой неделе раскопала редактор издания Fusion Кашмир Хилл. В 2002 году компания MaxMind разрабатывала новый сервис, позволяющий примерно определить координаты сетевого адресата по IP. В процессе разработки понадобилось ввести дефолтные координаты. Дело не в том, что это требовалось клиентам. В статье этот момент не раскрывается, но вполне можно представить, что так решил один из разработчиков, потому что все так делают и удобно. Чтобы система не падала от пустой переменной и не происходило деление на ноль.

В константу забили округленные (38.0000,-97.0000) координаты географического центра США и в общем-то быстро забыли про этот рутинный эпизод. А к жителям дома рядом с городком Потвин в штате Канзас через некоторое время начали приходить странные люди. Приезжали скорые. Приходили агенты ФБР в форме и в штатском. Налоговики. Коллекторы. Звонили разъяренные владельцы сайтов, которым приходил спам, и требовали прекратить сейчас же. Кто-то даже угрожал, а на аллее возле дома ночью поставили разбитый унитаз. Пожилой владелице дома и арендаторам не повезло оказаться в округленном до градусов центре страны. Все адреса, координаты которых компании MaxMind не удалось определить, указывали на дом в Канзасе, всего более шести миллионов IP. Кашмир Хилл связалась с MaxMind, и там были очень удивлены. Компания ведь всегда говорила, что координаты дает примерные, и они не должны использоваться для идентификации конкретных адресов и домов. Проблема в том, что абсолютно все, вплоть до медиков и ФБР, именно так их используют.

Предположим, что апокалипсиса не будет. И очень хорошо, что так. Но технологии все больше влияют на нашу реальную жизнь, иногда самым непредсказуемым образом. Ошибки и уязвимости в софте и железе не всегда приводят к трагедиям (хотя иногда таки приводят). Безответственная разработка медленно и почти незаметно снижает качество нашей жизни. И чем дальше мы будем идти от точки «теперь питание компьютера можно отключить» к постоянному нахождению в сетевой среде, тем больше будет новых возможностей, но и проблем тоже.

Для московских IP, кстати, та же база дает координаты Кремля. А в географическом центре России никто не живет. Перейдем к новостям недели. Предыдущие выпуски тут.
Читать полностью »

Security Week 12: ФБР взломает айфон без помощи Apple, криптодыра в iMessage, шифровальщики в больнице - 1Прежде чем перейти к новостям, поговорим о физиках и лириках о маркетинге уязвимостей. Этот относительно новый термин родился пару лет назад, с появлением Heartbleed — первой уязвимости, получившей собственное имя, логотип и рекламный ролик. Нельзя сказать, что все восприняли такое нововведение позитивно: дескать компании или эксперты, обнаружившие дыру, вместо сурового технического языка используют язык рекламы, и таким образом наживаются на беде. Не могу с этим согласиться. Хотя определенный момент рекламы тут есть (а где его нет?), попытки объяснить простыми словами (или даже образами) сложные технические вещи, о которых важно знать и неспециалистам, должны только приветствоваться.

Данная тема получила свое развитие на этой неделе, когда появилась, нет, не информация об уязвимости, а анонс уязвимости. Специалисты компании SerNet, в команде которой есть разработчики протокола SMB, объявили о серьезной уязвимости в таковом. Затронута как Linux-реализация протокола Samba, так и собственно Windows. Но детали раскрывать не стали: информация будет раскрыта только 12 апреля. Почему сделали именно так? Авторы исследования считают, что так у потенциальных жертв атаки будет возможность подготовиться. Довольно спорное утверждение: критики данной идеи утверждают, что таким образом исследователи могли дать фору атакующим, если последние догадаются о характере уязвимости, хотя бы из названия минисайта (Badlock). Стоило ли так делать — узнаем через две недели, во всех файловых шарах интернета.

А теперь к новостям. Предыдущие выпуски дайджеста тут.
Читать полностью »

Корпорация из Купертино разработала и запустила новый сервис, позволяющий пользователям, которые хотят отказаться от смартфонов на платформе iOS, удалить из iMessage своей номер телефона.

Благодаря новому сервису можно решить проблему с «исчезающими» текстовыми сообщениями, доставка которых велась на фирменный сервис Apple, в случае, если пользователь не «отвязывал» номер от iMessage при переходе на Android или WP.

Новый сервис от Apple   удаление телефонного номера из iMessage

Читать полностью »

Рынок соцсетей уже пару лет как поделен и относительно стабилен, сейчас основная движуха идет на рынке мгновенных сообщений на смартфонах и планшетах. Интересно, какова ситуация в гиковой русскоязычной среде. Предыдущий в чем-то аналогичный опрос на Хабре: Общение в интернете: раньше и теперь.
Читать полностью »

Бенджамин Стейн (Benjamin Stein), технический директор компании Mobile Commons, рассказывает о «худшем баге», с которым ему пришлось столкнуться в жизни. Это произошло после того, как Бен сменил iPhone на Android. Вскоре он заметил, что ему не приходят многие текстовые сообщения от контактов в адресной книги, а именно — от других пользователей iPhone.

Как выяснилось, если знакомый пытается послать сообщение, то iPhone автоматически отправляет его в фирменный чат iMessage, поскольку телефонный номер Бенджамина сохранился у них в кэше как номер с поддержкой iMessage. Естественно, сообщение не приходит на Android-устройство.
Читать полностью »

в 10:51, , рубрики: android, apple, iMessage, метки: , ,

Талантливый разработчик Daniel Zweigart выпустил приложение iMessage Chat для Android.

iMessage для AndroidiMessage для Android

Приложение протестировал с коллегой у которого iPhone: работает отправка текстовых сообщений, фото, файлов, Emoji.

При отправке видео приложение, к сожалению крашится.

Пара скриншотов и ссылки под катом. Читать полностью »

PRISM: Apple прокомментировала информацию о взаимодействии со спец службами

После появления подробностей о взаимодействии коммерческих компаний с правительством с помощью PRISM, Apple опубликовала свой комментарий, разъясняющий политику компании в данном направлении.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js