GeneralSecurity NewsUncategorizedVulnerability

ហេគឃ័រជនជាតិចិនចេញផ្សាយ PoC សម្រាប់ Jailbreak ពីចម្ងាយទៅលើ iOS 12 នៅលើទូរស័ព្ទ iPhone X

យើងមានដំណឹងល្អសម្រាប់អ្នកដែលស្រឡាញ់ការ Jailbreak ទៅលើទូរស័ព្ទ iPhone ទាំងអស់គ្នា។ អ្នកស្រាវជ្រាវសន្តិសុខអ៊ីនធឺណិតជនជាតិចិនម្នាក់បង្ហាញពីព័ត៌មានលម្អិតនៃភាពងាយរងគ្រោះសំខាន់ៗនៅក្នុងកម្មវិធី Apple Safari web browser និងប្រព័ន្ធប្រតិបត្តិការ iOS ដែលអាចឱ្យអ្នកវាយប្រហារពីចម្ងាយធ្វើការ Jailbreak និងជ្រៀតចូលទៅក្នុងទូរស័ព្ទ iPhoneX ដែលកំពុងដំណើរការប្រព័ន្ធប្រតិបត្តិការ iOS 12.1.2 និងកំណែ versions មុនៗ។

ដើម្បីធ្វើដូច្នេះបាន អ្នកវាយប្រហារត្រូវធ្វើការបញ្ឆោតអ្នកប្រើប្រាស់ទូរស័ព្ទ iPhoneX អោយចូលទៅក្នុងបើកទំព័រ Web page ពិសេសមួយ ដោយប្រើប្រាស់កម្មវិធីរុករក Safari Browser។ ទោះបីជាយ៉ាងណាក៏ដោយ ការស្វែងរកកំហុសឆ្គង និងការបង្កើត exploit សម្រាប់វាយលុកគឺមិនងាយស្រួលនោះទេសម្រាប់ពួកហេគឃ័រនៃប្រព័ន្ធប្រតិបត្តិការ iOS នោះទេ។

នៅក្នុងការរកឃើញដោយអ្នកស្រាវជ្រាវសន្តិសុខ Qixun Zhao នៃក្រុម Vulcan Team របស់ក្រុមហ៊ុន Qihoo 360 អោយដឹងថា ការ exploit អាចធ្វើបាន ០២ចំនុច ដែលត្រូវបានបង្ហាញដំបូងនៅក្នុងការប្រកួតប្រជែងហេគឃីង TianfuCup ដែលធ្វើឡើងកាលពីខែវិច្ឆិកាឆ្នាំមុន ហើយបន្ទាប់មកត្រូវរាយការណ៍ទៅកាន់ក្រុមការងារសន្តិសុខរបស់ក្រុមហ៊ុន Apple។

នៅថ្ងៃនេះ លោក Zhao ចេញផ្សាយនូវព័ត៌មានលម្អិត និងការបង្ហាញជាវីដេអូភស្តុតាង (PoC) សម្រាប់ការវាយលុកមួយនេះ ហើយគាត់ដាក់ឈ្មោះហៅថា “Chaos” បន្ទាប់ពីម្សិលមិញនេះ ក្រុមហ៊ុន Apple បញ្ចេញកំណែ version iOS 12.1.3 ដើម្បីដោះស្រាយទៅលើបញ្ហាទាំងនោះ។

យោងតាមអ្នកស្រាវជ្រាវឱ្យដឹងថា ការវាយលុកពីជាពីចម្ងាយ (remote Jailbreak) នេះគឺជាការរួមបញ្ចូលគ្នានៃចំនុចខ្សោយពីរ គឺ memory corruption flaw (CVE-2019-6227) នៅក្នុង Safari WebKit របស់ក្រុមហ៊ុន Apple និង user-after-free memory corruption issue (CVE-2019- 6225) នៅក្នុង iOS Kernel ។

ដូចអ្វីដែលបានបង្ហាញនៅក្នុងវីដេអូនេះអំពីការវាយលុកទៅលើ iPhone X ដែលកំហុសនៅក្នុងកម្មវិធី Safari បានអនុញ្ញាតឱ្យមាតិកាគេហទំព័រដំណើរការនូវកូដមិនល្អ (ដែលបង្កើតដោយហេគឃ័រ) នៅលើឧបករណ៍គោលដៅ ហើយបន្ទាប់មកប្រើចំនុចខ្សោយទី២ ដើម្បីតំលើងនូវសិទ្ធិ (elevate privileges) និងដំឡើងកម្មវិធីមេរោគដោយស្ងៀមស្ងាត់តែម្តង។

ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវរូបនេះជ្រើសរើសមិនចេញផ្សាយកូដសម្រាប់ការ Jailbreak iOS នេះទេ ដើម្បីការពារការប៉ុនប៉ងវាយប្រហារទៅលើអ្នកប្រើប្រាស់របស់ក្រុមហ៊ុន Apple ហើយសង្ឃឹមថា សហគមន៍ Jailbreak នឹងប្រើប្រាស់ព័ត៌មាននេះដើម្បីឱ្យមានការ jailbreak ដែលសមរម្យមួយសម្រាប់អ្នកប្រើប្រាស់ជាច្រើន។

នៅក្នុងខណៈពេលនេះ ដោយផ្អែកលើការវាយប្រហារពីចម្ងាយនេះ និងការគំរាមកំហែងដ៏ធំទូលំទូលាយនោះ វាមានការផ្តល់អនុសាសន៍សម្រាប់អ្នកប្រើប្រាស់ទូរស័ព្ទ iPhone ទាំងអស់អោយធ្វើការដំឡើងនូវបច្ចុប្បន្នភាពទៅកាន់ប្រព័ន្ធប្រតិបត្តិការ iOS ចុងក្រោយបំផុតឱ្យបានឆាប់តាមដែលអាចធ្វើបានជាជាងរង់ចាំការ jailbreak ៕

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button