Hacker China Mempublikasi PoC Remote iOS 12 Jailbreak di iPhone X – EDY SUSANTO

Hacker China Mempublikasi PoC Remote iOS 12 Jailbreak di iPhone X

101 News Security Article

Seorang peneliti keamanan dunia maya Cina hari ini mengungkapkan rincian teknis kerentanan kritis di browser web Apple Safari dan iOS yang dapat memungkinkan penyerang jarak jauh untuk melakukan jailbreak dan hacking  iPhoneX korban yang menjalankan iOS 12.1.2 dan versi sebelumnya.

Untuk melakukannya, yang perlu dilakukan penyerang hanyalah mengelabui pengguna iPhoneX agar membuka halaman web yang dibuat khusus menggunakan browser Safari.

Ditemukan oleh peneliti keamanan Qixun Zhao dari Tim Vulcan Qihoo 360, eksploitasi memanfaatkan 2 (dua) kerentanan keamanan yang pertama kali ditunjukkan pada kontes peretasan TianfuCup yang diadakan pada bulan November 2018 dan kemudian dilaporkan secara bertanggung jawab kepada tim keamanan Apple.

Zhao hari ini merilis beberapa perincian dan demonstrasi video proof-of-concept untuk eksploitinya, yang dijuluki “Chaos,” setelah Apple baru saja merilis iOS versi 12.1.3 untuk menambal masalah tersebut.

Menurut peneliti, eksploitasi Jailbreak jarak jauh adalah kombinasi dari dua kerentanan, yaitu, jenis kesalahan memori kesalahan korupsi (CVE-2019-6227) di Safari WebKit Apple dan masalah habis nya memori setelah digunakan (CVE-2019- 6225) di iOS Kernel.

Seperti yang ditunjukkan dalam demonstrasi video exploit jailbreak Chaos iPhone X, cacat Safari memungkinkan konten web dibuat secara jahat untuk mengeksekusi kode exploit pada perangkat yang ditargetkan,  ini kemudian diteruskan dengan memanfaatkan bug kedua untuk meningkatkan hak istimewa ( user priviledge)  dan menginstal aplikasi jahat secara diam-diam.

Tentu saja code untuk membuat exploit tidak di expose secara public karena akan menimbulkan serangan masif kepada pengguna Apple, namun pihak yang bersangkutan menyarankan pengguna apple untuk mengupdate IOS mereka dan berharap pihak Apple s turun tangan untuk mengatasi kelemahan tersebut pada IOS mereka.

[embedyt] https://www.youtube.com/watch?v=JznReTetgOI[/embedyt]

Sumber : hackernews.com

news

Related Posts