חברות אבטחה לא מפסיקות לעבוד. "תודה" לכל אלה שתמיד מחפשים נקודות תורפה במערכות ההפעלה והשירותים העסקיים. בגללם, אנחנו נעשים בטוחים יותר ומיושמים אמצעי אבטחה טובים יותר. נכון שלפעמים הפגיעות הללו מנוצלות לטובתן, אבל גם מהן לומדים. החדש הוא ניצול שהם כינו «Log4Shell«. הוא מסוגל לנצל את החולשות של אפל ב-iCloud.
כפי שפרטה חברת האבטחה LunaSec, הפגיעות נמצאה לראשונה ב-log4j. זוהי ספריית קוד פתוח המשמשת יישומים ואתרים מרובים לרישום. כלומר, תהליך שמירת רשימה של פעילויות שבוצעו כדי לבדוק מאוחר יותר כדי למצוא ולתקן שגיאות אפשריות או כשלים אחרים. מומחה האבטחה מרקוס האצ'ינס אומר ש-Log4Shell עשויה להשפיע על מיליוני יישומים ברחבי העולם. הסיבה היא כי ספריית log4j נמצאת בשימוש נרחב על ידי מפתחים. כדי לנצל את הפגיעות, האקרים חייבים לשמור מחרוזת מיוחדת עם תווים ספציפיים ברישום. תוקפים יכולים אפילו להפעיל קוד זדוני באמצעות קודי QR.
כדי לנצל את הפגיעות, תוקף צריך לגרום לאפליקציה לשמור מחרוזת תווים מיוחדת ברישום. מכיוון שיישומים רושמים באופן שגרתי מגוון רחב של אירועים, כגון הודעות שנשלחו והתקבלו על ידי משתמשים, או פרטים על שגיאות מערכת, הפגיעות זה קל בצורה יוצאת דופן לניצול והוא יכול להיות מופעל במספר דרכים.
הפעם הראשונה שבה נראתה הניצול עובד בהצלחה הייתה במשחק הווידאו Minecraft. באמצעות צ'אט נוצלו פגיעויות שהתגלו. איפה "Log4Shell" הרגיש נוח. מומחי אבטחה טוענים זאת זה גם עלול להזיק לשירות iCloud של אפל.
למרות שאפל לא הגיבה רשמית, הוא בטוח עובד על זה.