Хакер Pwn20wnd впервые со времён iOS 10 выпустил джейлбрейк на актуальную версию iOS 12.4. Он обошёл защиту благодаря ошибке, которую Apple закрыла в iOS 12.3, но вернула в свежем обновлении.
Как отметили исследователи по безопасности, ошибка в iOS 12.4 позволяет не только выпустить джейлбрейк, но и взломать айфоны. Этим могут воспользоваться злоумышленники, например, чтобы установить на устройства пользователей шпионское ПО без их ведома.
По словам исследователя по кибербезопасности Неда Уилльямсона, хакеры могут выпустить заражённое приложение, которое сможет выходить за пределы «песочницы» iOS — механизм, который не позволяет приложениям взаимодействовать с данными друг друга и красть информацию. Уилльямсон также считает, что злоумышленники могут использовать заражённый сайт в сочетании с уязвимостью в Safari.
Pwn20wnd считает, что кто-то, вероятно, уже эксплуатирует эту ошибку с целью злого умысла. Он рассказал Motherboard, что теперь любая организация, специализирующаяся на айфонах, может взломать любое актуальной устройство. В том числе удалённо.
Эксперты по кибербезопасности предупредили пользователей, чтобы они следили за тем, какие приложения загружают из AppStore. Apple закрыла уязвимость более 100 дней назад в обновлении iOS 12.3 ещё до того, как о ней стало известно публично. Об ошибке компании сообщил сотрудник Google.
Работа Pwn20wnd стала первым бесплатным и публичным джейлбрейком за многие годы. В последнее время Apple стала опережать хакеров и с каждым обновлением закрывала уязвимости, позволявшие взламывать систему.