W poniedziałek 10 lutego Apple wydało pilną poprawkę dla swoich flagowych platform iOS i iPadOS, jednocześnie ostrzegając, że krytyczna luka w zabezpieczeniach została aktywnie wykorzystana w „środowisku naturalnym”.
Wada bezpieczeństwa, śledzona jako CVE-2025-24200, umożliwia atakującym z fizycznym dostępem do zablokowanego iPhone’a lub iPada wyłączenie trybu ograniczonego USB – kluczowego mechanizmu ochrony – w celu uzyskania dostępu do niezałatanych urządzeń.
Zespół reagowania na zagrożenia z Cupertino potwierdził, że wada doprowadziła do „niezwykle wyrafinowanego ataku na określone osoby docelowe”. Problem został naprawiony w iOS 18.3.1 i iPadOS 18.3.1.
Zgodnie z nie najlepszą praktyką firma nie opublikowała wskaźników IOC ani żadnych danych telemetrycznych, aby pomóc obrońcom w poszukiwaniu oznak naruszenia. Odkrycie exploita przypisuje się Billowi Marczakowi z The Citizen Lab w Munk School na Uniwersytecie w Toronto. W blogosferze pojawiły się spekulacje, że exploit został wykorzystany do cyberakcji przez służby państwowe.
Tryb ograniczonego dostępu USB to funkcja bezpieczeństwa zaprojektowana w celu blokowania dostępu do danych przez port Lightning/USB-C iPhone’a lub iPada, gdy urządzenie pozostaje zablokowane przez ponad godzinę. Została wprowadzona, aby uniemożliwić złamanie hasła lub wyodrębnienie danych z urządzeń narzędziami łączącymi się przez USB.
Wyłączając połączenie danych po 60 minutach bezczynności, iOS uniemożliwia urządzeniom takim jak „odblokowywacze telefonów” pobieranie danych przez port – skutecznie zamieniając złącze Lightning w interfejs służący wyłącznie do ładowania. Oczywiście tylko do momentu, w którym właściciel nie odblokuje telefonu lub nie zezwoli na dostęp przez USB.
Apple opisało lukę jako „problem autoryzacji” w logice systemu operacyjnego, który może umożliwić złośliwemu urządzeniu lub technice wyłączenie trybu ograniczonego dostępu bez użycia hasła.
W praktyce atakujący fizycznie posiadający zablokowany telefon mógłby wykorzystać ten błąd, aby ponownie włączyć port danych, obchodząc godzinną blokadę. Otwiera to drogę do dalszych włamań.
Jest to kolejna w tym roku pilna aktualizacja oprogramowania spod znaku nadgryzionego jabłka. O innych problemach z bezpieczeństwem tego producenta pisaliśmy tutaj.