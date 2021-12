Smartfony Apple pracujące pod kontrolą iOS są narażone na niebezpieczną lukę LOG4SHELL. Co powoduje eksploit i jak chronić swojego iPhone'a?

Do sieci co jakiś czas trafiają nowe exploity, które uświadamiają nam, że oprogramowanie nigdy nie jest idealne. Dzięki odpowiedniemu zaangażowaniu oraz chęciom możliwe jest znalezienie niebezpiecznych luk. Tak stało się tym razem. Do sieci trafiły informacje o nowym exploicie typu zero-day. Oznacza to, że mowa o krytycznej luce. Została ona znalezione w bibliotece logowania Log4j Apache. W internecie można znaleźć dokładny opis możliwego wykorzystania luki. Co istotne badacze przekazują, że jest ona stosowana przez hakerów.

Exploit otrzymał nazwę LOG4SHELL i jest jednym z najniebezpieczniejszych jakie opublikowano na przestrzeni ostatnich kilku lat. Oddziałuje on na urządzenia Apple, ale może również pracować w prostych aplikacjach i grach. Badacze jako przykład podają między innymi Minecrafta.

Log4j jest popularnym pakietem do logowania, który został napisany w Javie. Jego twórcom jest organizacja Apache Software Foundation. Problem występuje w Log4j w wersji od 2.0-beta9 do 2.14.1 i został już opisany jako CVE-2021-44228.

Wolna od błędu jest najnowsza wersja Log4j - 2.15.0. Niestety nie rozwiązuje to problemu, ponieważ przerażająca większość usługi i aplikacji opera się na archiwalnych wersjach z luką w zabezpieczeniach. Mowa o usługach takich jak Steam czy Apple iCloud.

Co ważne nawet zmiana nazwy na smartfonie iPhone jest w stanie wywołać lukę na serwerach firmy Apple.

LOG4SHELL został odkryty przez Chena Zhaojuna z Alibaba Cloud Security Team. Według raportu każda usługa, która rejestruje ciągi znaków sterowane przez użytkownika może zostać wykorzystana do uruchomienie exploita.

Aktualnie nie pozostaje nic innego jak czekanie. Producenci muszą zaktualizować swoje produkty i usługi. Użytkownicy końcowi nie mogą wprowadzić żadnych dodatkowych zabezpieczeń. Problem zostanie rozwiązany bez konieczności instalacji aktualizacji oprogramowania na naszych smartfonach i komputerach.