Google, Apple Image I / O'yu büyük boşluklarla patlatıyor, masum kullanıcılar uzanıyor

Yazar | Ma Chao

Sorumlu Editör | Yu Yan

Kapak resmi | CSDN, Visual China'dan ücretli indirme

Üretildi | CSDN (ID: CSDNnews)

28 Nisan'da, Google'ın Project Zero bilgi güvenliği ekibi, Apple'ın Görüntü G / Ç'sinde bazı hatalar bulundu. Image I / O kitaplığı iOS, MacOS, WatchOS ve TVOS tarafından paylaşılan bir multimedya kitaplığıdır. Bu nedenle, Google tarafından ortaya çıkan bu kusur neredeyse tüm büyük Apple platformlarını etkiler. Bilgisayar korsanları bu güvenlik açıklarını saldırmak için kullanırsa, kullanıcıların "sıfır tıklama" saldırılarıyla karşılaşmasına neden olma olasılığı yüksektir. Neyse ki, Google bu güvenlik açıklarını açıklamadan önce, Apple bunları zaten düzeltmişti.

Bu sorun, Görüntü G / Ç görüntü biçimi ayrıştırıcısından kaynaklanmaktadır. Bilgisayar korsanlarının genellikle görüntü ayrıştırma çerçevesine saldırdığını biliyoruz. Kötü biçimlendirilmiş medya dosyaları oluşturarak, hedef ana bilgisayarda kötü amaçlı saldırılar gerçekleştirmek için görüntü ayrıştırma programındaki güvenlik açıklarından yararlanabilirler. Kod.

Sıfır gün güvenlik açıkları ve Proje Sıfır

Bilgi güvenliği endüstrisinde, düzenli ekiplerin güvenlik açığını, güvenlik açığı giderildikten sonra, yani güvenlik açığı ortaya çıktığında, tehdit artık mevcut olmadığında açıklamayı seçeceğini biliyoruz. "Sıfır gün" (sıfır gün), bu resmi kanal tarafından duyurulan güvenlik açıklarına karşılık gelir.Ayrıca, keşfedildikten hemen sonra kötü amaçla kötüye kullanılan bir güvenlik açığına atıfta bulunan sıfır gün saldırısı olarak da adlandırılır. Layman'ın terimleriyle, ilgili kötü amaçlı programlar, güvenlik yaması ve kusurun ortaya çıktığı gün içinde görünür. Bu tür saldırılar genellikle çok ani ve yıkıcıdır.

Çok sayıda "sıfır gün güvenlik açığı" saldırısı olmamasına rağmen, tehditler artıyor. Örneğin, ünlü fidye yazılımı WannaCry tarafından kullanılan "sonsuz mavi" tipik bir sıfır gün güvenlik açığıdır. "Eternal Blue" 150'ye neden olur. Ülke, 300.000 kullanıcı işe alındı ve kayıp 8 milyar ABD doları kadar yüksekti.

Sıfır gün güvenlik açıklarına yanıt olarak Google, Project Zero programını (resmi blog: https://googleprojectzero.blogspot.com/) başlattı ve şöyle dedi: "Amacımız, hedeflenen siber saldırıları önemli ölçüde azaltmak. İşe alacağız. En iyi, düşünceli ve pratik güvenlik araştırmacıları tüm İnternet'in güvenliğini artıracak ve zamanlarının ve enerjilerinin% 100'ünü buna ayıracaklar.

Project Zero'nun kadrosu, "rüya takımı" kadar lüks. Ekip üyeleri arasında, 2013 yılında Adobe Flash ve Microsoft Office'te çok sayıda güvenlik açığı keşfeden Yeni Zelandalı Ben Hawkes ve tanınmış İngiliz "sıfır gün güvenlik açığı araştırma ve öldürme" uzmanı Tavis Omandi yer alıyor. Ormandy), Google Chrome işletim sistemini başarıyla kıran George Hotz ve Apple'ın iOS, OSX ve Safari tarayıcılarında birden fazla güvenlik açığı keşfeden gizemli İsviçreli hacker Brit Ian Beer. Çoğu, Google merkez ofisinde çalışamaz ve güvenlik açıkları içerebilecek sistemleri ve yazılım tasarımlarını bulmak için hedef yazılımı taramak için profesyonel güvenlik açığı bulma araçlarını kullanamaz. Mevcut durumdan yola çıkarak, Project Zero ekibi gerçekten de genel İnternet siber saldırılarını azaltmaya kararlıdır ve vizyonunu yalnızca Google'ın kendi ürün serisiyle sınırlamakla kalmaz, aynı zamanda olağanüstü başarılara sahiptir ve Windows Not Defteri gibi pek çok şeyi başarıyla keşfetmiştir. Yüksek riskli güvenlik açıkları ve İnternet güvenliği olaylarının meydana gelmesini önleyin.

Neden multimedya bileşenleri bilgisayar korsanlarının favorisidir

Mevcut çeşitli ana işletim sistemlerinde, otomatik dosya sınıflandırma işlevleri olacaktır ve kullanıcılar dosya tarayıcısında ses, video ve resimleri sınıflandırabilir ve bunlara göz atabilir. Bu, herhangi bir yeni multimedya dosyasının işletim sistemi tarafından otomatik olarak ayrıştırılacağı ve bu ayrıştırma işleminin kullanıcıyla etkileşimi gerektirmediği anlamına gelir, bu nedenle bu tür olaylara "sıfır tıklama" güvenlik açığı denir. Ve multimedya analiz kütüphanesi, Kod genellikle çapraz platformdur, yani davranışı işletim sistemleri arasında aynıdır.

Yukarıdaki nedenlerden ötürü, multimedya ayrıştırma kitaplıkları bilgisayar korsanları için ideal saldırı noktalarıdır, çünkü kullanıcılarla etkileşime bile girmeden yeterli sayıda sistemde kötü amaçlı kodlar çalıştırabilirler. Bilgisayar korsanının tek yapması gereken, cihaza yanlış biçimlendirilmiş multimedya dosyasını göndermenin bir yolunu bulmak ve savunmasız kod tetiklenene kadar dosyanın işlenmesini beklemektir. Günümüzün bağlantılı dünyasında, görüntü ve video alışverişi en yaygın kullanıcı etkileşimlerinden biridir. Bu nedenle SMS, e-posta veya sosyal medya aracılığıyla gönderilen görüntülerde kötü amaçlı kodun gizlenmesi oldukça gizli ve verimli bir saldırı yöntemidir.

Bu güvenlik açığının baş kahramanı olan Image I / O, Apple tarafından Apple cihazlarında kullanılan görüntü analizi ve işleme kitaplığıdır. Apple uygulama ekosistemindeki temel rolü nedeniyle, Image I / O tehlikeli bir saldırı yüzeyidir. Temelde herhangi bir saldırgan için sıfır tıklama izinsiz giriş vektörü sağlar, bu nedenle mümkün olduğunca güvenli olması gerekir.

Google Project Zero ekip üyelerine göre, Apple Image I / O kaynak kodunu yayınlamadığından, Image I / O'nun resim dosyalarını yanlış formatta nasıl işlediğini test etmek için fuzzing teknolojisini kullandılar. Bulanıklaştırma işlemi, çerçeve kodunda gelecekteki saldırılar için anormallikleri ve olası giriş noktalarını tespit etmek için Görüntü G / Ç için beklenmedik girdi sağlar.Son olarak, Proje Sıfır ekibi, bir başka açık kaynak entegre Görüntü G / Ç'si olan Görüntü G / Ç'de 6 güvenlik açığı buldu OpenEXR kütüphanesinde 8 güvenlik açığı daha bulundu. Ancak Google, bu güvenlik açıklarının cihazın en yüksek yetkisini elde etmek için kullanılıp kullanılamayacağını doğrulamamıştır çünkü çalışmalarının amacı bu değildir. Ancak bu güvenlik açıkları arasında en yüksek düzeyde güvenlik kusurlarının olması gerektiğine inanıyorum.

Bununla birlikte, Project Zero ekip üyeleri, görünürlük ve çerçevenin kaynak koduna erişim eksikliği nedeniyle çalışmasının büyük olasılıkla eksik olacağı konusunda uyardılar. Şimdiye kadar keşfedilen güvenlik açıkları, ImageI / O ve diğer Appleın görüntü ve multimedya işleme bileşenlerinin açığa çıkmasının sadece başlangıcı olmalıdır. Bu görüntü kitaplıkları, yasa dışı bilgisayar korsanları için çok çekicidir. Yukarıda bahsedilen görüntü türlerinin güvenlik açıklarının tümü olduğu gibi "Sıfır tıklama" saldırıları oluşturmak için kullanılabilir.

Şu anda, atlatmanın en kolay yolu Görüntü I / O'yu bölmektir. Örneğin, Stagefright güvenlik açığı ortaya çıktıktan sonra, Google MediaServer sınıf kitaplığını böldü ve farklı erişim hakları için koruma sağlayarak saldırının uygulanmasını daha zor hale getirdi. Android'in MediaServer sınıf kitaplığını doğrudan kullanmak Apple için iyi bir yol olabilir.

postscript

Dünya çapında casus yazılım ve gözetim yazılımı tedarikçilerinin sayısının artmasıyla, bilgisayar korsanları sisteme zarar vermenin basit ve etkili yollarını arıyor ve görüntü analizi kitaplıkları en uygun yolu sağlıyor. Sözde sihir geç kaldığı için yol yüksek. Yazarın gözlemine göre bilgi güvenliğinde kırmızı tarafın hakim olduğu durum yavaş yavaş değişiyor. Bu nedenle sektörün, güvenlik alanında yeni trendlere büyük önem vermesi gerekiyor. Fidye yazılımı trajedisi bilişim sektöründe meydana geldi.

Yapay zeka dünyasının zorlu mücadelesinde, Tengine neden geliştiriciler için en popüler ana çerçeve haline geldi?

5G hakkında bu kadar çok şey söyledikten sonra, en kritik teknoloji burada

360 Financein yeni baş bilim adamı: AI Labın orta ofis olmasını beklemeyin

AI görüntüsü eski fotoğrafların akıllı onarımı, efekt benim için harika

Programcının dahili beceri eğitimi serisi: Linux fiziksel belleği ve sanal bellek üzerine 10 örnek

DeFi, Rollup ile karşılaştığında, ne tür bir kıvılcım yaratacak?

Bunu okuduktan sonra kombinasyon modunu iyice anlayacaksınız
önceki
Veritabanını CURD'ye dönüştürmek için Spring nasıl kullanılır?
Sonraki
Gelişecek profesyonel oyuncular olan "Mutlak Aydınlanma" yapay zekasına King's Glory'ye meydan okumak korkunç.
Yeni nesil "hacker" efsanesini yazmaya devam ediyor
AMD ile Intel arasındaki savaş: Hangi CPU daha iyidir?
Sabah Okuma | 1 Mayıs'tan önceki 4 gün içinde 104 milyon gezi
Her "Zhong Nanshan Takımı" dışarı çıkar, Zhong Nanshan bu cümleyi ciddiyetle teşvik etmelidir.
Yukarı Akıntı·Gece YağmuruDoktorlardan Övgü Salgınla Mücadele Sağlık Çalışanlarına Hediye - Huang Jie
Sabah Okuma | Wuhan'daki 19.000 lise öğrencisinin nükleik asit testleri negatif | Shenyang, önemli popülasyonlar için nükleik asit testleri gerektiriyor
Zhangjiajie Maoyanhe doğal yıldızlı gökyüzü kampı ve çevredeki açık hava turistik yerleri seyahat rehberi burada
Chongqing, Jinfo Dağı'ndaki güneş pusu görüntüsü, tuvaleti sifonla sifonu çekmeyle ilgili anlaşmazlıklar, yeniden evlenen koca biyolojik oğlunu kesiyor
İki yer güveç, barbekü ve diğer yemeklerin askıya alındığını duyurdu Ulusal Sağlık Komisyonu önemli bir uyarı yayınladı
Değişimi görün ve bilgeliği görün | Kaicheng Technology'nin çevre koruma konsepti kurumsal dönüşümü destekler ve teknoloji şirket gelişimini hızlandırır
"Şu anda, bulunduğunuz yerdeki salgının risk seviyesi ayarlandı!"
To Top