Οι εταιρείες ασφαλείας δεν σταματούν να λειτουργούν. «Ευχαριστώ» όλους όσους αναζητούν πάντα ευπάθειες σε επιχειρησιακά λειτουργικά συστήματα και υπηρεσίες. Εξαιτίας αυτών, γινόμαστε πιο ασφαλείς και εφαρμόζονται καλύτερα μέτρα ασφαλείας. Είναι αλήθεια ότι μερικές φορές αυτά τα τρωτά σημεία εκμεταλλεύονται για δικό τους όφελος, αλλά μαθαίνονται και από αυτά. Το νέο είναι ένα κατόρθωμα που το έχουν ονομάσει «Log4Shell«. Είναι σε θέση να εκμεταλλευτεί τις αδυναμίες της Apple στο iCloud.
Όπως αναφέρει η εταιρεία ασφαλείας LunaSec, η ευπάθεια βρέθηκε για πρώτη φορά στο log4j. Αυτή είναι μια βιβλιοθήκη ανοιχτού κώδικα που χρησιμοποιείται από πολλές εφαρμογές και ιστότοπους για εγγραφή. Δηλαδή, η διαδικασία διατήρησης μιας λίστας δραστηριοτήτων που εκτελούνται για έλεγχο αργότερα για την εύρεση και διόρθωση πιθανών σφαλμάτων ή άλλων αστοχιών. Ο ειδικός σε θέματα ασφάλειας Marcus Hutchins λέει ότι το Log4Shell θα μπορούσε να επηρεάσει εκατομμύρια εφαρμογές σε όλο τον κόσμο. Ο λόγος είναι επειδή η βιβλιοθήκη log4j χρησιμοποιείται ευρέως από προγραμματιστές. Για να εκμεταλλευτούν την ευπάθεια, οι χάκερ πρέπει να αποθηκεύσουν μια ειδική συμβολοσειρά με συγκεκριμένους χαρακτήρες στο μητρώο. Οι εισβολείς μπορούν ακόμη και να ενεργοποιήσουν κακόβουλο κώδικα μέσω κωδικών QR.
Για να εκμεταλλευτεί την ευπάθεια, ένας εισβολέας πρέπει να κάνει την εφαρμογή να αποθηκεύσει μια ειδική συμβολοσειρά χαρακτήρων στο μητρώο. Δεδομένου ότι οι εφαρμογές καταγράφουν τακτικά ένα ευρύ φάσμα συμβάντων, όπως μηνύματα που αποστέλλονται και λαμβάνονται από χρήστες ή λεπτομέρειες σφαλμάτων συστήματος, η ευπάθεια είναι ασυνήθιστα εύκολο να το εκμεταλλευτείς και μπορεί να ενεργοποιηθεί με διάφορους τρόπους.
Η πρώτη φορά που το exploit φάνηκε να λειτουργεί με επιτυχία ήταν στο βιντεοπαιχνίδι Minecraft. Μέσω της συνομιλίας, έγινε εκμετάλλευση των ευπαθειών που ανακαλύφθηκαν. Εκεί που το «Log4Shell» ένιωθε άνετα. Αυτό ισχυρίζονται ειδικοί σε θέματα ασφάλειας Θα μπορούσε επίσης να βλάψει την υπηρεσία iCloud της Apple.
Αν και η Apple δεν έχει απαντήσει επίσημα, σίγουρα το δουλεύει.