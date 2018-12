Pokazowy atak związany z odzyskiwaniem danych z iPhone'ów przykuł uwagę ekspertów Sophos w kontekście ostatnich kontrowersji właśnie z tym związanych. Świat IT obiegła wiadomość, że duet @fluoroacetate odnalazł sposób na ponowny dostęp do zdjęć usuniętych z zasobów albumu na iPhonie z najnowszą wersją iOS. Cyberspece dostali się do zdjęć z folderu „Ostatnio usunięte”, w którym skasowane przez użytkownika zdjęcia przechowywane są jeszcze przez kilka tygodni.

Skasowane, ale nie ponownie nadpisane pliki od lat stanowią ryzyko dla bezpieczeństwa danych w przypadku większości systemów operacyjnych, gdyż możliwe jest uzyskanie uprawnień administratora systemu czy root’a i odzyskanie danych korzystając z niskopoziomowych narzędzi.

Jak oceniają eksperci, takie narzędzie wykorzystywane głównie przez specjalistów od forensics stanowi również potencjalną drogę do ominięcia mechanizmów zabezpieczeń wbudowanych w system operacyjny. Jednak, jak zauważają, system iOS firmy Apple nie powinien zezwalać na aktywności tego typu - użytkownicy nie powinni być w stanie uzyskać uprawnień root-a ani mieć możliwości modyfikowania plików systemowych, by odzyskać ukryte systemowo dane.

Aby przechwycić usunięte zdjęcia, duet @fluoroacetate, Cama i Zhu wykorzystali exploity – błędy w procesach programowania prowadzące do powstawania luk w zabezpieczeniach programów. W tym przypadku wykorzystano błędy w przeglądarce Safari, aby oszukać system iOS w dostępie do treści, które nie powinny być dostępne dla zewnętrznych procesów. Ryzyko wykorzystania błędów przeglądarki tego typu polega na tym, że mogą być one inicjowane bezpośrednio przez strony internetowe przygotowane przez cyberoszustów i uruchamiane zdalnie – wystarczy tylko zachęcić potencjalnego poszkodowanego do odwiedzenia takiej strony internetowej – nie trzeba przekonywać nikogo do pobrania pliku.

Jak się chronić?

Jak chronić usunięte pliki zarchiwizowane na iPhone? Eksperci Sophos radzą, aby przede wszystkim nie wpadać w panikę, gdyż luka do czasu wydania łatki przez Apple nie powinna być ponownie wykorzystana przez innych cyberprzestępców. W trosce o fotografie, które zostały skasowane, należy pamiętać, że w aplikacji „Zdjęcia” występuje drugi etap usuwania. Przed faktycznym usunięciem skanowane pliki trafiają do katalogu „Ostatnio usunięte”, z którego skasowanie zdjęć nie pozwala na ich odzyskanie, nawet przy użyciu odnalezionej przez @fluoroacetate luki.

Źródło: Sophos