Хакер #305. Многошаговые SQL-инъекции
Издание TechCrunch сообщило, что компания Apple временно отключила популярное приложение Walkie-Talkie для Apple Watch, так как в нем была обнаружена опасная уязвимость. Баг позволял слушать микрофон чужого iPhone без разрешения пользователя.
В Apple объяснили, что узнали об уязвимости по официальным каналам: кто-то прислал компании сообщение об уязвимости через специальную предназначенную для этого форму. Как только стало ясно, насколько опасен найденный баг, было принято решение приостановить работу приложения вплоть до исправления ошибки.
Технические подробности проблемы пока не раскрываются, но официальное заявление Apple гласит, что компании не известно о случаях эксплуатации данного бага. Также сообщается, что использовать уязвимость было не так уж просто, для этого требовалось соблюсти ряд условий и воссоздать определенную последовательность событий.
Представители Apple извинились перед пользователями за неудобства и пообещали восстановить работу Walkie-Talkie в самое ближайшее время.
Журналисты TechCrunch отмечают, что описанная проблема выглядит очень похоже на другую уязвимость, обнаруженную в FaceTime зимой текущего года. Тот баг тоже позволял подслушивать пользователей без их ведома. Хуже того, как выяснилось потом, баг исходно нашел 14-летний подросток, который больше недели безуспешно пытался проинформировать об этом компанию. К сожалению, разработчики отреагировали лишь тогда, когда информация о баге распространилась по социальным сетям со скоростью лесного пожара, и эксплуатировать проблему стали буквально все.
Тогда Apple подверглась резкой критике со стороны ИБ-сообщества. Многие эксперты отмечали, что ИТ-компаниям стоит уделять внимание не только сообщениям от профессиональных исследователей, но также прислушиваться к словам простых пользователей, и предоставлять последним работающие и очевидные каналы связи с разработчиками.