Από τότε που η κινεζική κυβέρνηση υιοθέτησε κανόνες ώστε να εμποδίσει τους ερευνητές ζητημάτων ασφάλειας να συμμετέχουν σε διεθνείς διαγωνισμούς «χάκινγκ» όπως o Pwn2Own, ο ετήσιος διεθνής διαγωνισμός κυβερνοασφάλειας Tianfu Cup, που πραγματοποιείται στην πόλη Τσενγκτού, αποτελεί το «γήπεδο» όπου οι κορυφαίοι χάκερς της Κίνας κατεβαίνουν για να επιδείξουν τις ικανότητές τους. Η τελευταία φορά που πραγματοποιήθηκε ο δημοφιλής διαγωνισμός ήταν το προηγούμενο Σαββατοκύριακο, όπου το νέο έξυπνο κινητό της Apple, το iPhone 13 Pro που τρέχει την πιο πρόσφατη και πλήρως ενημερωμένη έκδοση του λειτουργικού iOS, και συγκεκριμένα την έκδοση 15.0.2, χακαρίστηκε σε χρόνο ρεκόρ. Και μάλιστα δις.
Η ομάδα της εταιρείας Kunlun Lab, διευθύνων σύμβουλος της οποίας είναι ένας πρώην επικεφαλής τεχνολογίας της Qihoo 360, κατάφερε να «σπάσει» το iPhone 13 Pro επί σκηνής χρησιμοποιώντας μια απομακρυσμένη εκμετάλλευση (exploit) εκτέλεσης κώδικα του προγράμματος περιήγησης Safari για κινητές συσκευές. Και το κατάφερε σε μόλις 15 δευτερόλεπτα.
Φυσικά, πιθανότατα χρειάστηκαν μήνες προετοιμασίας για να φτάσει σε αυτό το σημείο, ωστόσο το αποτέλεσμα ήταν σοκαριστικό και καταιγιστικά γρήγορο. Ωστόσο, αναλυτικές λεπτομέρειες όσον αφορά την ευπάθεια ή τις ευπάθειες που εκμεταλλεύτηκε η ομάδα δεν αποκαλύφθηκαν.
Ωστόσο, η ομάδα της Kunlun Lab δεν ήταν η μόνη που χάκαρε το iPhone 13 Pro. Η ομάδα Pangu, η οποία έχει προϊστορία στο να «σπάει» συσκευές της Apple, επιβεβαίωσε για μια ακόμη φορά τη φήμη της διεκδικώντας το κορυφαίο χρηματικό βραβείο των 300.000 δολαρίων για εξ αποστάσεως jailbreaking ενός πλήρως ενημερωμένου iPhone 13 Pro με iOS 15.
Παρότι, και πάλι, δεν γνωστοποιήθηκαν λεπτομέρειες για τον τρόπο που επιτεύχθηκε αυτό, τα δημοσιεύματα αναφέρουν ότι χρησιμοποιήθηκε ένας «σύνδεσμος ενός κλικ» (one-click link) που ενεργοποίησε μια απομακρυσμένη εκμετάλλευση η οποία παρέκαμψε τους μηχανισμούς ασφαλείας του Safari.
Το θετικό νέο είναι ότι σε αυτές τις περιπτώσεις το «χάκινγκ» δεν αποτελεί έγκλημα, όπως έχω αναφέρει ξανά και ξανά.
Άλλωστε, αυτές οι ομάδες χάκερς θα παραδώσουν τις λεπτομέρειες των εκμεταλλεύσεων που εντόπισαν και χρησιμοποίησαν στην Apple ώστε η εταιρεία να εκδώσεις ενημερώσεις (patches) που θα διορθώσουν αυτές τις ευπάθειες. Εκτιμώ ότι αυτό θα συμβεί είτε στην έκδοση του iOS 15.1 είτε σε μια επερχόμενη ενημέρωση ασφαλείας του iOS 15.0.
Τα όχι και τόσο καλά νέα είναι ότι στο παρελθόν υπήρξαν αναφορές για κινεζικούς κρατικούς φορείς που χρησιμοποίησαν ορισμένες από αυτές τις ευπάθειες για κατασκοπεία ή παρακολούθηση, πριν κυκλοφορήσουν οι ενημερώσεις που «σφράγισαν» αυτά τα τρωτά σημεία λογισμικού.
Πρέπει, επίσης, να σημειωθεί ότι τα προϊόντα της Apple δεν αποτέλεσαν τους μόνους «στόχους» των χάκερς κατά τη διάρκεια του διαγωνισμού Tianfu Cup 2021. Οι ερευνητές ζητημάτων ασφαλείας εκμεταλλεύτηκαν επίσης με επιτυχία ευπάθειες των Windows 10, του Microsoft Exchange και του Google Chrome, μεταξύ άλλων. Θα επανέλθω όταν θα έχω περισσότερες λεπτομέρειες σχετικά με αυτές τις «επιθέσεις».
Ακολουθήστε το Gizchina Greece στο Google News για να μαθαίνετε πρώτοι και άμεσα, όλα τα τεχνολογικά νέα! Αν ψάχνετε HOT προσφορές, κάντε εγγραφή στο κανάλι μας στο Telegram!
