Siin on põhjus, miks teie Apple'i seadmed muutuvad palju turvalisemaks

Kuigi Apple'i seadmed on kuulsad oma turva- ja privaatsusfunktsioonide poolest, ei ole need häkkimise või muude rünnakute eest haavatavad. Õnneks muutuvad Apple'i seadmed edaspidi palju turvalisemaks.

Seotud:

• WWDC-l teatati iOS 13 privaatsuse ja turvalisuse täiustustest
• Siin on uued turva- ja privaatsusfunktsioonid, mis tulevad macOS Mojave ja iOS 12 jaoks
• Näpunäiteid Maci turvalisuse ja viiruste vältimiseks

Selle põhjuseks on hiljutised Apple'i poliitikamuudatused, millest teatati sel kuul Las Vegase turvakonverentsidel Black Hat. Lisaks sellele on Black Hat ja Def Con 2019 raames avalikustatud ka mõned märkimisväärsed ärakasutused.

Siin on, mida peaksite teadma hiljutiste Apple'i turvauudiste kohta.

Apple'i turvapoliitika muutub

Apple'i turvatehnika juht Ivan Krstić tegi tänavusel Black Hat konverentsil paar olulist teadaannet.

Kuigi teadaanded olid suunatud eetilistele häkkeritele ja turvauurijatele, kujutavad need endast suuri muudatusi Apple'i turvapoliitikas. Need võivad edaspidi väga hästi kaasa tuua palju turvalisemad seadmed.

Bug Bounty programm

Selle augusti Black Hat turbekonverentsi suurim Apple'iga seotud uudis oli Apple'i veatoetuste programmi märkimisväärne laiendamine.

Põhimõtteliselt on vigade hüvitamise programm eetiliste häkkerite ja turvauurijate jaoks viis olemasolevate platvormide tugevdamiseks. Kui nad leiavad näiteks iOS-is vea või haavatavuse, teatavad nad sellest veast Apple'ile ja saavad selle eest tasu.

Mis puudutab muudatusi, siis Apple laiendab edaspidi veatoetuste programmi ka macOS-i seadmetele. Samuti suurendab see preemia maksimaalset suurust 200 000 dollarilt 1 miljoni dollarini ekspluatatsiooni kohta. See sõltub muidugi sellest, kui tõsine see on.

Apple tutvustas esimest korda iOS-i vigade hüvitamise programmi 2016. aastal. Kuid kuni selle augustini polnud sellist programmi macOS-i jaoks (mis on oma olemuselt rünnakute suhtes haavatavam kui Apple'i mobiilioperatsioonisüsteem).

See tekitas kuulsalt probleeme, kui Saksa häkker keeldus algselt Apple'ile konkreetse vea üksikasju teatamast. Häkker nimetas põhjusena väljamaksete puudumist, kuigi lõpuks andis ta Apple'ile üksikasjad.

Vanglast purustatud iPhone'id

Apple pakub kontrollitud häkkeritele ja turvauurijatele ka spetsiaalseid iPhone'e, et nad saaksid proovida iOS-i murda.

IPhone'e kirjeldatakse kui eelmurtud "arendaja" seadmeid, millel puuduvad paljud iOS-i tarbijaversioonile lisatud turvameetmed.

Need spetsialiseerunud seadmed peaksid võimaldama läbitungimistestidel palju suuremat juurdepääsu aluseks olevatele tarkvarasüsteemidele. Nii saavad nad tarkvara haavatavusi palju lihtsamini üles leida.

IPhone'id pakutakse osana Apple'i iOS-i turbeuuringute seadmeprogrammist, mille kavatsetakse käivitada järgmisel aastal.

Väärib märkimist, et ülalnimetatud "dev" iPhone'ide jaoks on olemas must turg.

Selle aasta alguses avaldatud emaplaadi aruande kohaselt tuuakse need väljalaskeeelsed iPhone'id mõnikord Apple'i tootmisliinilt välja. Sealt saavad nad sageli kõrget hinda, enne kui need lõpuks varaste, häkkerite ja turvauurijateni jõuavad.

Märkimisväärsed haavatavused

Kuigi turvapoliitika muutub ja häkker-iPhone'id on Black Hati ja Def Coni suurimad uudised, turvauurijad ja valge mütsi häkkerid paljastasid ka mitmeid märkimisväärseid Apple'iga seotud juhtumeid haavatavused.

Neid on oluline tähele panna, kui kasutate Apple'i seadet ja soovite säilitada oma andmete privaatsust ja turvalisust.

Näo ID ümbersõit

Apple ütleb, et Face ID on oluliselt turvalisem kui Touch ID. Ja praktikas on sellest palju raskem mööda minna. Kuid see ei tähenda, et ärakasutusi poleks olemas.

Tencenti teadlased leidsid, et nad suutsid Face ID "elavuse" tuvastamise süsteemi ära petta. Põhimõtteliselt on see meede, mille eesmärk on eristada inimeste tegelikke või võltstunnuseid – ja see takistab inimestel teie seadet teie näoga avamast, kui te magate.

Teadlased töötasid välja patenteeritud meetodi, mis võib süsteemi lollitada, kasutades prille ja teipi. Põhimõtteliselt võivad need "võlts" prillid jäljendada teadvuseta inimese näoilmet.

Kuid ärakasutamine toimib ainult teadvuseta inimeste puhul. Aga see teeb murelikuks. Teadlastel õnnestus võltsprillid magavale inimesele ette panna.

Sealt said nad inimese seadme lukust lahti teha ja mobiilimakseplatvormi kaudu endale raha saata.

Rakendus Kontaktid

Apple'i iOS-i operatsioonisüsteem kui aiaga piiratud platvorm on rünnakutele üsna vastupidav. Osaliselt on põhjuseks see, et platvormil pole lihtsat viisi allkirjastamata rakenduste käitamiseks.

Kuid Def Con 2019 Check Pointi turvateadlased leidsid võimaluse ära kasutada rakenduse Contacts viga, mis võib lubada häkkeritel teie iPhone'is allkirjastamata koodi käivitada.

See haavatavus on tegelikult viga SQLite'i andmebaasivormingus, mida rakendus Kontaktid kasutab. (Enamik platvorme, alates iOS-ist ja macOS-ist kuni Windows 10 ja Google Chrome'i, kasutab tegelikult vormingut.)

Uurijad leidsid, et nad suutsid mõjutatud iPhone'is käitada pahatahtlikku koodi, sealhulgas skripti, mis varastas kasutaja paroolid. Samuti suutsid nad saavutada püsivust, mis tähendab, et nad said pärast taaskäivitamist jätkata koodi käitamist.

Õnneks tugineb haavatavus pahatahtliku andmebaasi installimisele lukustamata seadmesse. Nii et seni, kuni te ei luba häkkeril oma lukustamata iPhone'ile füüsilist juurdepääsu, peaksite olema kõik korras.

Pahatahtlikud kaablid

Pikka aega on soovitatud mitte ühendada arvutisse juhuslikke USB-draive. Tänu hiljutisele arengule ei tohiks tõenäoliselt ka juhuslikke Lightning-kaableid arvutisse ühendada.

Selle põhjuseks on O.MG kaabel, spetsiaalne häkkimistööriist, mille on välja töötanud turvateadlane MG ja mida sel aastal Def Conil demonstreeriti.

O.MG kaabel näeb välja ja töötab täpselt nagu tavaline Apple Lightning kaabel. See võib laadida teie iPhone'i ja ühendada seadme Maci või PC-ga.

Kuid kaabli korpuses on tegelikult patenteeritud implantaat, mis võib võimaldada ründajal kaugjuurdepääsu teie arvutile. Kui see on ühendatud, võib häkker avada terminali ja käivitada muu hulgas pahatahtlikke käske.

Õnneks on kaablid praegu ainult käsitsi valmistatud ja maksavad 200 dollarit. See peaks riski vähendama. Kuid edaspidi soovite tõenäoliselt vältida juhuslike välgukaablite ühendamist Maciga.