إليك سبب اقتراب أن تصبح أجهزة Apple الخاصة بك أكثر أمانًا

بينما تشتهر أجهزة Apple بميزات الأمان والخصوصية الخاصة بها ، إلا أنها ليست محصنة ضد القرصنة أو الهجمات الأخرى. لحسن الحظ ، فإن أجهزة Apple على وشك أن تصبح أكثر أمانًا في المستقبل.

متعلق ب:

• تم الإعلان عن تحسينات iOS 13 للخصوصية والأمان في WWDC
• فيما يلي ميزات الأمان والخصوصية الجديدة المتوفرة في macOS Mojave و iOS 12
• نصائح لأمن Mac وتجنب الفيروسات

هذا بسبب التغييرات الأخيرة في سياسة Apple التي تم الإعلان عنها في مؤتمرات Black Hat الأمنية في لاس فيجاس هذا الشهر. بالإضافة إلى ذلك ، هناك أيضًا بعض الثغرات البارزة التي تم الكشف عنها في Black Hat و Def Con 2019.

إليك ما يجب أن تعرفه عن آخر أخبار أمان Apple.

تغييرات سياسة أمان Apple

أدلى إيفان كرستيتش ، رئيس قسم هندسة الأمان في Apple ، ببعض التصريحات المهمة في مؤتمر Black Hat لهذا العام.

بينما كانت الإعلانات تستهدف المتسللين الأخلاقيين والباحثين الأمنيين ، إلا أنها تمثل تغييرات كبيرة في سياسات أمان Apple. قد ينتج عن ذلك أجهزة أكثر أمانًا في المستقبل.

برنامج Bug Bounty

كانت أكبر الأخبار المتعلقة بشركة Apple والتي خرجت من مؤتمر Black Hat الأمني ​​في أغسطس هي توسع كبير في برنامج المكافآت من Apple.

بشكل أساسي ، يعد برنامج bug bounty طريقة يستخدمها المتسللون الأخلاقيون والباحثون الأمنيون للمساعدة في تقوية الأنظمة الأساسية الحالية. بمجرد العثور على خطأ أو ثغرة أمنية في نظام التشغيل iOS ، على سبيل المثال ، يبلغون شركة Apple عن هذا الخلل - ويتقاضون المال مقابل ذلك.

فيما يتعلق بالتغييرات ، تعمل Apple على توسيع برنامج bug bounty ليشمل أجهزة macOS من الآن فصاعدًا. كما تعمل أيضًا على زيادة الحد الأقصى لحجم المكافأة من 200000 دولار لكل برمجية إلى 1 مليون دولار لكل برمجية. هذا ، بالطبع ، يعتمد على مدى شدته.

قدمت شركة Apple لأول مرة برنامج مكافأة أخطاء iOS في عام 2016. ولكن حتى شهر أغسطس ، لم يكن هناك مثل هذا البرنامج لنظام التشغيل macOS (وهو بطبيعته أكثر عرضة للهجمات من نظام تشغيل الأجهزة المحمولة من Apple).

من المعروف أن ذلك تسبب في حدوث مشكلات عندما رفض أحد المتسللين الألمان في البداية إبلاغ Apple بتفاصيل عيب معين. ذكر المخترق أن السبب هو عدم وجود تعويضات ، على الرغم من أنه قدم لشركة Apple التفاصيل في النهاية.

أجهزة iPhone التي تم عمل جيلبريك مسبقًا عليها

ستوفر Apple أيضًا أجهزة iPhone متخصصة للمتسللين والباحثين الأمنيين الذين تم فحصهم حتى يتمكنوا من محاولة كسر نظام iOS.

توصف أجهزة iPhone بأنها أجهزة "مطورة" سابقة كسر الحماية تفتقر إلى العديد من الإجراءات الأمنية المخبأة في إصدار المستهلك من iOS.

يجب أن تسمح هذه المتخصصة لمختبري الاختراق بالوصول إلى أنظمة البرامج الأساسية. بهذه الطريقة ، يمكنهم العثور على نقاط الضعف في البرنامج بسهولة أكبر.

سيتم توفير أجهزة iPhone كجزء من برنامج Apple Security Research Device Program من Apple ، والذي تخطط لإطلاقه العام المقبل.

من الجدير بالذكر أن هناك سوقًا سوداء حالية لأجهزة iPhone "dev" المذكورة أعلاه.

وفقًا لتقرير Motherboard الصادر في وقت سابق من هذا العام ، يتم أحيانًا تهريب أجهزة iPhone السابقة للإصدار من خط إنتاج Apple. من هناك ، غالبًا ما يجلبون ثمناً باهظاً قبل أن يصلوا في النهاية إلى اللصوص والمتسللين والباحثين الأمنيين.

نقاط ضعف ملحوظة

في حين أن التغييرات في السياسة الأمنية وأجهزة iPhone الخاصة بالهاكر هي أكبر الأخبار من Black Hat و Def Con ، كشف باحثو الأمن وقراصنة القبعة البيضاء أيضًا عن عدد من الشخصيات البارزة ذات الصلة بـ Apple نقاط الضعف.

من المهم ملاحظة ما إذا كنت تستخدم جهاز Apple وتريد الحفاظ على خصوصية بياناتك وأمانها.

تجاوز معرف الوجه

تقول Apple إن Face ID أكثر أمانًا من Touch ID. ومن الناحية العملية ، يصعب تجاوز الأمر كثيرًا. لكن هذا لا يعني عدم وجود برمجيات إكسبلويت.

اكتشف باحثون من Tencent أنهم كانوا قادرين على خداع نظام الكشف عن "فعالية" Face ID. في الأساس ، هو مقياس يهدف إلى التمييز بين الميزات الحقيقية والمزيفة على البشر - ويمنع الأشخاص من فتح قفل جهازك بوجهك أثناء النوم.

طور الباحثون طريقة خاصة يمكن أن تخدع النظام فقط باستخدام النظارات والشريط اللاصق. بشكل أساسي ، يمكن لهذه النظارات "المزيفة" محاكاة مظهر العين على وجه الشخص الفاقد للوعي.

ومع ذلك ، فإن الاستغلال يعمل فقط على الأشخاص الفاقدين للوعي. لكنها مقلقة. تمكن الباحثون من وضع النظارات المزيفة على شخص نائم.

من هناك ، يمكنهم فتح جهاز الشخص وإرسال الأموال إلى أنفسهم من خلال نظام الدفع عبر الهاتف المحمول.

تطبيق جهات الاتصال

نظام التشغيل iOS من Apple ، كمنصة حدائق مسورة ، مقاوم إلى حد ما للهجمات. يرجع ذلك جزئيًا إلى عدم وجود طريقة سهلة لتشغيل التطبيقات غير الموقعة على النظام الأساسي.

لكن الباحثين الأمنيين من Check Point at Def Con 2019 وجدوا طريقة للاستفادة من خطأ في تطبيق جهات الاتصال يمكن أن يسمح للقراصنة بتشغيل كود غير موقع على جهاز iPhone الخاص بك.

الثغرة الأمنية هي في الواقع خطأ في تنسيق قاعدة بيانات SQLite ، والذي يستخدمه تطبيق جهات الاتصال. (تستخدم معظم الأنظمة الأساسية ، من iOS و macOS إلى Windows 10 و Google Chrome ، التنسيق في الواقع.)

وجد الباحثون أنهم كانوا قادرين على تشغيل تعليمات برمجية ضارة على جهاز iPhone متأثر ، بما في ذلك نص برمجي يسرق كلمات مرور المستخدم. كانوا أيضًا قادرين على اكتساب الثبات ، مما يعني أنه يمكنهم الاستمرار في تشغيل التعليمات البرمجية بعد إعادة التشغيل.

لحسن الحظ ، تعتمد الثغرة الأمنية على تثبيت قاعدة بيانات ضارة على جهاز غير مؤمن. طالما أنك لا تسمح للمتسلل بالوصول المادي إلى جهاز iPhone غير المؤمَّن ، فلا بأس بذلك.

الكابلات الخبيثة

يوصى منذ فترة طويلة بعدم توصيل محركات أقراص USB عشوائية بجهاز الكمبيوتر. بفضل التطوير الأخير ، ربما لا يجب عليك توصيل كبلات Lightning العشوائية بجهاز الكمبيوتر أيضًا.

هذا بسبب كبل O.MG ، وهو أداة قرصنة متخصصة طورها الباحث الأمني ​​MG وعرضت في Def Con هذا العام.

يبدو كابل O.MG ويعمل تمامًا مثل كابل Apple Lightning النموذجي. يمكنه شحن جهاز iPhone الخاص بك ويمكنه توصيل جهازك بجهاز Mac أو الكمبيوتر الشخصي.

ولكن داخل غلاف الكابل يوجد في الواقع غرسة مملوكة يمكن أن تسمح للمهاجم بالوصول عن بُعد إلى جهاز الكمبيوتر الخاص بك. عندما يتم توصيلها ، يمكن للمتسلل فتح Terminal وتشغيل أوامر ضارة ، من بين مهام أخرى.

لحسن الحظ ، الكابلات مصنوعة يدويًا فقط وتبلغ تكلفة كل منها 200 دولار. يجب أن يقلل من المخاطر. ولكن من الآن فصاعدًا ، سترغب على الأرجح في تجنب توصيل كبلات Lightning العشوائية بجهاز Mac.