Tästä syystä Apple-laitteesi ovat tulossa paljon turvallisemmiksi

Vaikka Apple-laitteet ovat kuuluisia tietoturva- ja yksityisyysominaisuuksistaan, ne eivät ole haavoittumattomia liian hakkerointiin tai muihin hyökkäyksiin. Onneksi Apple-laitteet ovat tulossa paljon turvallisemmiksi jatkossa.

Aiheeseen liittyvä:

• iOS 13:n tietosuoja- ja tietoturvaparannukset julkistettiin WWDC: ssä
• Tässä ovat uudet suojaus- ja tietosuojaominaisuudet, jotka tulevat macOS Mojaveen ja iOS 12:een
• Vinkkejä Macin turvallisuuteen ja virusten välttämiseen

Tämä johtuu viimeaikaisista Applen politiikan muutoksista, jotka ilmoitettiin Black Hat -tietoturvakonferensseissa Las Vegasissa tässä kuussa. Tämän lisäksi Black Hatissa ja Def Con 2019 -tapahtumassa paljastettiin joitain merkittäviä hyökkäyksiä.

Tässä on mitä sinun pitäisi tietää viimeaikaisista Applen tietoturvauutisista.

Applen turvallisuuspolitiikka muuttuu

Ivan Krstić, Applen turvallisuustekniikan johtaja, teki pari merkittävää ilmoitusta tämän vuoden Black Hat -konferenssissa.

Vaikka ilmoitukset oli suunnattu eettisille hakkereille ja tietoturvatutkijoille, ne edustavat suuria muutoksia Applen tietoturvapolitiikkaan. Nämä voivat hyvinkin johtaa paljon turvallisempiin laitteisiin tulevaisuudessa.

Bug Bounty -ohjelma

Tämän elokuun Black Hat -tietoturvakonferenssin suurin Appleen liittyvä uutinen oli Applen bugipalkkioohjelman merkittävä laajennus.

Pohjimmiltaan bugipalkkioohjelma on tapa eettisille hakkereille ja tietoturvatutkijoille auttaa vahvistamaan olemassa olevia alustoja. Kun he löytävät bugin tai haavoittuvuuden esimerkiksi iOS: ssä, he ilmoittavat siitä Applelle ja saavat siitä maksun.

Mitä tulee muutoksiin, Apple laajentaa bug bounty -ohjelmaa macOS-laitteisiin tulevaisuudessa. Se nostaa myös palkkion enimmäiskokoa 200 000 dollarista hyväksikäyttöä kohti miljoonaan dollariin. Riippuu tietysti kuinka vakavasta se on.

Apple esitteli ensimmäisen kerran iOS-virhepalkkioohjelman vuonna 2016. Mutta tähän elokuuhun asti ei ollut tällaista ohjelmaa macOS: lle (joka on luonnostaan ​​haavoittuvampi hyökkäyksille kuin Applen mobiilikäyttöjärjestelmä).

Tämä aiheutti tunnetusti ongelmia, kun saksalainen hakkeri kieltäytyi alun perin ilmoittamasta tietyn virheen yksityiskohdista Applelle. Hakkeri mainitsi syynä maksujen puutteen, vaikka hän lopulta antoi Applelle tiedot.

Jailbroken iPhonet

Apple toimittaa myös erikoistuneita iPhone-puhelimia tarkastetuille hakkereille ja tietoturvatutkijoille, jotta he voivat yrittää murtaa iOS: n.

IPhone-puhelimia kuvataan valmiiksi jailbroke-tuiksi, "dev"-laitteiksi, joista puuttuu monia iOS: n kuluttajaversioon sisältyneistä turvatoimista.

Näiden erikoistuneiden pitäisi antaa levinneisyystestaajille paljon enemmän pääsyä taustalla oleviin ohjelmistojärjestelmiin. Tällä tavalla he voivat löytää ohjelmiston haavoittuvuuksia paljon helpommin.

iPhonet toimitetaan osana Applen iOS Security Research Device Program -ohjelmaa, jonka se aikoo julkaista ensi vuonna.

On syytä huomata, että edellä mainituille "dev" iPhoneille on olemassa mustat markkinat.

Aiemmin tänä vuonna julkaistun emolevyraportin mukaan nämä ennakkojulkaisut iPhonet salakuljetetaan toisinaan Applen tuotantolinjalta. Sieltä he saavat usein korkean hinnan ennen kuin ne lopulta saavuttavat varkaita, hakkereita ja tietoturvatutkijoita.

Huomattavia haavoittuvuuksia

Vaikka turvallisuuspolitiikan muutokset ja hakkeri-iPhonet ovat Black Hatin ja Def Conin suurin uutinen, tietoturvatutkijat ja valkohattu-hakkerit paljastivat myös useita merkittäviä Appleen liittyviä haavoittuvuuksia.

Nämä on tärkeää huomioida, jos käytät Apple-laitetta ja haluat säilyttää tietojesi yksityisyyden ja turvallisuuden.

Face ID ohitus

Apple sanoo, että Face ID on huomattavasti turvallisempi kuin Touch ID. Ja käytännössä se on itse asiassa paljon vaikeampaa ohittaa. Mutta se ei tarkoita, etteikö hyväksikäyttöä olisi olemassa.

Tencentin tutkijat havaitsivat, että he pystyivät huijaamaan Face ID: n "elävyyden" tunnistusjärjestelmän. Pohjimmiltaan se on mitta, jonka tarkoituksena on erottaa todelliset tai väärennetyt piirteet ihmisissä – ja se estää ihmisiä avaamasta laitettasi kasvosi avulla, kun nukut.

Tutkijat kehittivät patentoidun menetelmän, joka voi huijata järjestelmää vain käyttämällä laseja ja teippiä. Pohjimmiltaan nämä "väärennetyt" lasit voivat jäljitellä silmän ilmettä tajuttoman henkilön kasvoilla.

Hyökkäys toimii kuitenkin vain tajuttomissa ihmisissä. Mutta se on huolestuttavaa. Tutkijat pystyivät laittamaan väärennetyt lasit nukkuvan ihmisen päälle.

Sieltä he voisivat avata henkilön laitteen lukituksen ja lähettää rahaa itselleen mobiilimaksualustan kautta.

Yhteystiedot-sovellus

Applen iOS-käyttöjärjestelmä, aidatun puutarhan alustana, on melko vastustuskykyinen hyökkäyksille. Osittain tämä johtuu siitä, että alustalla ei ole helppoa tapaa ajaa allekirjoittamattomia sovelluksia.

Mutta Def Con 2019:n Check Pointin tietoturvatutkijat löysivät tavan hyödyntää Yhteystiedot-sovelluksen virhettä, joka saattoi antaa hakkereiden suorittaa allekirjoittamatonta koodia iPhonessasi.

Haavoittuvuus on itse asiassa virhe SQLite-tietokantamuodossa, jota Yhteystiedot-sovellus käyttää. (Useimmat alustat iOS: stä macOS: stä Windows 10:een ja Google Chromeen käyttävät itse asiassa muotoa.)

Tutkijat havaitsivat, että he pystyivät suorittamaan haitallista koodia iPhonessa, johon vaikutus kohdistui, mukaan lukien komentosarja, joka varasti käyttäjän salasanat. Ne pystyivät myös saamaan pysyvyyttä, mikä tarkoittaa, että he pystyivät jatkamaan koodin suorittamista uudelleenkäynnistyksen jälkeen.

Onneksi haavoittuvuus perustuu haitallisen tietokannan asentamiseen lukitsemattomaan laitteeseen. Joten niin kauan kuin et anna hakkerin päästä fyysisesti lukitsemattomaan iPhoneesi, sinun pitäisi olla kunnossa.

Haitalliset kaapelit

On jo pitkään suositeltu, että et liitä satunnaisia ​​USB-asemia tietokoneeseesi. Äskettäisen kehityksen ansiosta sinun ei todennäköisesti myöskään pitäisi kytkeä satunnaisia ​​Lightning-kaapeleita tietokoneeseen.

Tämä johtuu O.MG-kaapelista, erikoistuneesta hakkerointityökalusta, jonka turvallisuustutkija MG on kehittänyt ja joka esiteltiin Def Conissa tänä vuonna.

O.MG-kaapeli näyttää ja toimii täsmälleen kuten tyypillinen Apple Lightning -kaapeli. Se voi ladata iPhonesi ja liittää laitteesi Maciin tai PC: hen.

Mutta kaapelin kotelossa on itse asiassa patentoitu implantti, joka voi sallia hyökkääjän etäkäytön tietokoneellesi. Kun se on kytketty, hakkeri voi avata terminaalin ja suorittaa haitallisia komentoja muun muassa.

Onneksi kaapelit ovat tällä hetkellä vain käsintehtyjä ja maksavat 200 dollaria. Sen pitäisi vähentää riskiä. Mutta jatkossa haluat todennäköisesti välttää satunnaisten Lightning-kaapeleiden kytkemistä Maciin.