Një grup studiuesish universitarë kanë publikuar rezultatet e një studimi që ilustron një sulm në kanalin anësor, të quajtur iLeakage, kundër Safari në macOS dhe iOS. Dobësia është e pranishme në procesorët Apple A dhe M të integruar në iPhone, iPad dhe Mac. E meta e sigurisë është e ngjashme me ato të zbuluara në CPU-të Intel dhe AMD (Meltdown dhe Spectre) gati gjashtë vjet më parë. Patch-i nuk është ende i disponueshëm, por ka një rregullim të përkohshëm.
iLeakage: vjedhja e fjalëkalimit nga shfletuesi
Sulmet e kanaleve anësore ju lejojnë të aksesoni të dhënat e përpunuara nga CPU përmes ekzekutimit spekulativ. Në rastin e iLeakage, dobësia është e pranishme në çipat e Apple dhe shfrytëzohet kur përdoruesi viziton një faqe interneti që përmban JavaScript dhe kod Asambleje që mund të lexojë përmbajtjen e një faqeje tjetër ueb.
iLeakage funksionon në macOS vetëm me Safari, ndërsa në iOS dhe iPadOS funksionon me çdo shfletues që përdor motorin e interpretimit të WebKit (kërkohet sipas rregullave të Apple). Studiuesit kanë publikuar tre video që tregojnë po aq raste. Në të parën, kredencialet e Instagram, të ruajtura në LastPass, vidhen duke përdorur Safari në macOS.
Në videon e dytë mund të shihni leximin e subjektit të emaileve të marra me Gmail, duke përdorur Safari për iOS.
Videoja e tretë tregon se si të hyni në historikun e YouTube, kur përdoruesi përdor Chrome për iOS.
Dobësia u raportua në Apple më shumë se një vit më parë. Kompania ka njoftuar se do të lëshojë një patch në versionet e ardhshme të iOS dhe macOS. Aktualisht ekziston një rregullim i përkohshëm (vetëm për Safari në macOS) që mund të aplikohet manualisht duke ndjekur udhëzimet e studiuesve.
Discussion about this post