Otkriven propust u srarijim modelima Eplovih proizvoda

Bezbednosni stručnjaci upozorili su vlasnike određenih Epl uređaja na ranjivost koja se ne može ukloniti običnim ažuriranjem sistema.

Istraživači iz kompanije “Paradigm Shift” otkrili su propust u nekim starijim modelima Epl uređaja koji bi mogao da omogući takozvani “jailbreak”, odnosno zaobilaženje zaštita ugrađenih u operativni sistem.

Ono što ovaj problem čini drugačijim od većine bezbednosnih grešaka jeste to što ne postoji klasična zakrpa koja bi ga rešila. Pošto je kvar povezan sa samim hardverom, potpuna zaštita moguća je samo prelaskom na uređaj sa drugačijim čipom.

Ipak, stručnjaci naglašavaju da napad nije jednostavan za izvođenje. Haker ne može da iskoristi ovu ranjivost preko interneta, već mora fizički da ima uređaj u svojim rukama i dodatnu opremu, poput računara “Raspberry Pi”, kako bi pokušao da izvrši napad.

Propust, nazvan “usbliter8”, povezan je sa načinom na koji određeni USB kontroleri obrađuju podatke. Problem nastaje zato što čipovi ne brišu pravilno određene memorijske informacije između prenosa, što napadaču može omogućiti ubacivanje koda tamo gde ne bi trebalo da ima pristup.

Prema istraživačima, ova greška može da omogući otključavanje sistema i zaobilaženje pojedinih bezbednosnih ograničenja. U teoriji, napadač bi mogao da instalira neovlašćeni softver na dubljem nivou sistema ili da pokuša pristup podacima koji se nalaze na uređaju.

Među pogođenim uređajima navode se modeli sa čipovima Epl A12 Bionic, Epl A13 Bionic, kao i određeni čipovi iz Epl Vač serije. To uključuje, između ostalog, Ajfon XS, Ajfon 11 i neke modele pametnih satova.

Pošto se ne radi o grešci u aplikacijama ili operativnom sistemu, već o načinu na koji je napravljen sam čip, ažuriranje softvera ne može potpuno da ukloni rizik. Korisnicima pogođenih uređaja kao jedina dugoročna zaštita preporučuje se prelazak na modele sa novijim procesorima, poput onih koji koriste A14 ili novije čipove.

Iz kompanije “Paradigm Shift” naveli su da su o otkriću obavestili Epl i pohvalili saradnju tokom procesa prijavljivanja problema. Epl za sada nema mogućnost da ovu hardversku slabost popravi klasičnom bezbednosnom nadogradnjom, pa će zaštita zavisiti od korišćenja nepogođenih uređaja.