Ето защо вашите устройства на Apple са на път да станат много по-сигурни

Въпреки че устройствата на Apple са известни със своите функции за сигурност и поверителност, те не са неуязвими за хакерство или други атаки. За щастие устройствата на Apple са на път да станат много по-сигурни в бъдеще.

Свързани:

• Подобренията за поверителност и сигурност на iOS 13 бяха обявени на WWDC
• Ето новите функции за сигурност и поверителност, които идват в macOS Mojave и iOS 12
• Съвети за сигурност на Mac и избягване на вируси

Това се дължи на последните промени в политиката на Apple, обявени на конференциите за сигурност на Black Hat в Лас Вегас този месец. В допълнение към това има и някои забележителни подвизи, разкрити на Black Hat и Def Con 2019.

Ето какво трябва да знаете за последните новини за сигурността на Apple.

Политиката за сигурност на Apple се променя

Иван Кръстич, ръководител на инженеринг по сигурността на Apple, направи няколко важни изявления на тазгодишната конференция на Black Hat.

Въпреки че съобщенията са насочени към етичните хакери и изследователите по сигурността, те представляват големи промени в политиките за сигурност на Apple. Това може да доведе до много по-сигурни устройства в бъдеще.

Програма за бъгове

Най-голямата новина, свързана с Apple от конференцията по сигурността на Black Hat този август, беше значително разширяване на програмата за награди за грешки на Apple.

По същество програмата за награждаване на грешки е начин за етичните хакери и изследователите по сигурността да помогнат за укрепването на съществуващите платформи. След като намерят грешка или уязвимост с iOS, например, те съобщават за този недостатък на Apple - и получават заплащане за това.

Що се отнася до промените, Apple разширява програмата за награждаване на грешки до устройства с macOS в бъдеще. Освен това увеличава максималния размер на наградата от $200 000 за експлойт на $1 милион за експлойт. Това, разбира се, зависи от това колко тежко е.

Apple за първи път представи програма за награждаване на грешки в iOS през 2016 г. Но до този август нямаше такава програма за macOS (която по своята същност е по-уязвима към атаки от мобилната операционна система на Apple).

Това предизвика проблеми, когато германски хакер първоначално отказа да съобщи подробности за конкретен недостатък на Apple. Хакерът посочи липсата на изплащане като причина, въпреки че в крайна сметка той даде на Apple подробностите.

iPhones преди джейлбрейкване

Apple също така ще предостави специализирани iPhone на проверени хакери и изследователи по сигурността, за да могат да се опитат да разбият iOS.

iPhones са описани като предварително джейлбрейкнати, „dev“ устройства, на които липсват много от мерките за сигурност, включени в потребителската версия на iOS.

Тези специализирани трябва да позволят на тестери за проникване много повече достъп до основните софтуерни системи. По този начин те могат да намерят уязвимости в софтуера много по-лесно.

iPhones ще бъдат предоставени като част от програмата на Apple за изследване на сигурността на iOS, която планира да пусне следващата година.

Струва си да се отбележи, че съществува черен пазар за гореспоменатите „разработчици“ iPhone.

Според доклад за дънната платка от по-рано тази година, тези предварителни iPhones понякога се изнасят контрабандно от производствената линия на Apple. Оттам те често достигат висока цена, преди в крайна сметка да стигнат до крадци, хакери и изследователи по сигурността.

Забележими уязвимости

Докато политиките за сигурност се променят и хакерските iPhone са най-голямата новина от Black Hat и Def Con, изследователи по сигурността и хакери с бели шапки също разкриха редица забележителни, свързани с Apple уязвимости.

Това е важно да се отбележи, ако използвате устройство на Apple и искате да запазите поверителността и сигурността на вашите данни.

Face ID Bypass

Apple казва, че Face ID е значително по-сигурен от Touch ID. А на практика всъщност е много по-трудно да се заобиколи. Но това не означава, че подвизите не съществуват.

Изследователи от Tencent откриха, че са успели да измамят системата за откриване на „живота“ на Face ID. По същество това е мярка, предназначена за разграничаване на истински или фалшиви характеристики на човешки същества – и не позволява на хората да отключат устройството ви с лицето ви, когато спите.

Изследователите разработиха собствен метод, който може да заблуди системата само с помощта на очила и лента. По същество тези „фалшиви“ очила могат да имитират изгледа на око на лицето на човек в безсъзнание.

Експлоата обаче работи само при хора в безсъзнание. Но е тревожно. Изследователите успяха да сложат фалшивите очила на спящ човек.

Оттам те биха могли да отключат устройството на лицето и да изпращат пари до себе си чрез платформа за мобилно плащане.

Приложение Контакти

Операционната система iOS на Apple, като оградена градинска платформа, е доста устойчива на атаки. Отчасти това е така, защото няма лесен начин за стартиране на неподписани приложения на платформата.

Но изследователи по сигурността от Check Point на Def Con 2019 намериха начин да се възползват от грешка в приложението Contacts, която може да позволи на хакерите да изпълняват неподписан код на вашия iPhone.

Уязвимостта всъщност е грешка във формата на база данни SQLite, която приложението Контакти използва. (Повечето платформи, от iOS и macOS до Windows 10 и Google Chrome, всъщност използват формата.)

Изследователите откриха, че са успели да стартират злонамерен код на засегнат iPhone, включително скрипт, който открадна пароли на потребител. Те също така успяха да получат постоянство, което означава, че можеха да продължат да изпълняват код след рестартиране.

За щастие, уязвимостта разчита на инсталиране на злонамерена база данни на отключено устройство. Така че, стига да не позволите на хакер да има физически достъп до вашия отключен iPhone, трябва да сте добре.

Злонамерени кабели

Отдавна се препоръчва да не включвате произволни USB устройства в компютъра си. Благодарение на скорошно развитие, вероятно не трябва да включвате произволни Lightning кабели в компютъра си.

Това е заради кабела O.MG, специализиран инструмент за хакване, разработен от изследователя по сигурността MG и показан на Def Con тази година.

O.MG кабелът изглежда и функционира точно като типичен кабел на Apple Lightning. Той може да зарежда вашия iPhone и може да включи вашето устройство към вашия Mac или PC.

Но в корпуса на кабела всъщност е собствен имплант, който може да позволи на нападателя отдалечен достъп до вашия компютър. Когато е включен, хакер може да отвори терминала и да изпълнява злонамерени команди, наред с други задачи.

За щастие кабелите в момента са само ръчно изработени и струват $200 всеки. Това трябва да намали риска. Но в бъдеще вероятно ще искате да избегнете включването на произволни Lightning кабели във вашия Mac.