Bezpečnost je jedním obrovským odvětvím, kde působí mnoho společností. I Google má speciální divizi nazvanou Project Zero, která hledá chyby nejen v systémech od Googlu. Například se podařilo objevit bezpečnostní zranitelnosti ve Windows. Ostatně Project Zero stojí také za ukončením veřejné verze Google+. Bezpečnostnímu týmu se podařilo objevit zranitelnost ve všech systémech od Applu. Chyby se dotýkají iOS, iPadOS, macOS, watchOS a tvOS.
Fuzzing ImageIO
Apple používá i všech svých systémů framework ImageIO, který slouží ke zpracování dat obrazového charakteru. API se stará o parsování obrazových dat, pakliže jsou obsaženy v textu nebo v e-mailu. Není zde vyžadována uživatelská interakce, vše funguje automaticky. Tým Project Zero se tedy soustředil na analýzu celého systému a schválně posílal neúplná data.
Díky tomu se podařilo objevit celkem šest zranitelností typu Fuzzing, které mohou využít útočníci. Například mohou odeslat speciálně modifikované informace v obrázku, o což se automaticky postará ImageIO. Zde může být ukryt škodlivý kód, který se následně automaticky spustí. Kromě toho se podařilo najít dalších osm zranitelností v OpenEXR, což je framework třetí strany.
Zdroj: Google
Všechny tyto bezpečnostní problémy se nazývají zero-click, tedy není nutná uživatelská interakce k jejich využití. Google již informoval postihnuté strany, přičemž například Apple zavedl opravy v lednu a dubnu. Bohužel tým z Project Zero došel k závěru, že se nepodařilo opravit vše a stále ImageIO obsahuje zranitelnosti. Budou tedy asi následovat další aktualizace. Kompletní informace o bezpečnostních zranitelnostech byly publikovány na webu Project Zero.
Zdroje: googleprojectzero.blogspot.com, 9to5google.com