Ecco perché i tuoi dispositivi Apple stanno per diventare molto più sicuri

Sebbene i dispositivi Apple siano famosi per le loro funzionalità di sicurezza e privacy, non sono invulnerabili agli attacchi hacker o di altro tipo. Fortunatamente, i dispositivi Apple stanno per diventare molto più sicuri in futuro.

Imparentato:

• Miglioramenti alla privacy e alla sicurezza di iOS 13 annunciati al WWDC
• Ecco le nuove funzionalità di sicurezza e privacy in arrivo su macOS Mojave e iOS 12
• Suggerimenti per la sicurezza del Mac ed evitare i virus

Ciò è dovuto alle recenti modifiche alla politica Apple annunciate alle conferenze sulla sicurezza Black Hat a Las Vegas questo mese. Oltre a ciò, ci sono anche alcuni exploit importanti rivelati a Black Hat e Def Con 2019.

Ecco cosa dovresti sapere sulle recenti notizie sulla sicurezza di Apple.

La politica di sicurezza di Apple cambia

Ivan Krstić, capo dell'ingegneria della sicurezza di Apple, ha fatto un paio di annunci significativi alla conferenza Black Hat di quest'anno.

Sebbene gli annunci fossero rivolti ad hacker etici e ricercatori di sicurezza, rappresentano importanti cambiamenti alle politiche di sicurezza di Apple. Questi potrebbero benissimo portare a dispositivi molto più sicuri in futuro.

Programma Bug Bounty

La più grande notizia relativa ad Apple dalla conferenza sulla sicurezza Black Hat di agosto è stata un'espansione significativa del programma di ricompensa dei bug di Apple.

In sostanza, un programma di bug bounty è un modo per gli hacker etici e i ricercatori sulla sicurezza di aiutare a rafforzare le piattaforme esistenti. Una volta che trovano un bug o una vulnerabilità con iOS, ad esempio, segnalano quel difetto ad Apple e vengono pagati per questo.

Per quanto riguarda le modifiche, Apple sta espandendo il programma bug bounty ai dispositivi macOS in futuro. Sta anche aumentando la dimensione massima di una taglia da $ 200.000 per exploit a $ 1 milione per exploit. Questo, ovviamente, dipende da quanto è grave.

Apple ha introdotto per la prima volta un programma di ricompensa per i bug iOS nel 2016. Ma fino ad agosto non esisteva un programma del genere per macOS (che è, di per sé, più vulnerabile agli attacchi rispetto al sistema operativo mobile di Apple).

Ciò ha notoriamente causato problemi quando un hacker tedesco inizialmente si è rifiutato di segnalare i dettagli di un difetto specifico ad Apple. L'hacker ha citato la mancanza di pagamento come motivo, anche se alla fine ha fornito i dettagli ad Apple.

iPhone pre-jailbreak

Apple fornirà anche iPhone specializzati a hacker e ricercatori di sicurezza controllati in modo che possano provare a violare iOS.

Gli iPhone sono descritti come dispositivi "dev" pre-jailbroken privi di molte delle misure di sicurezza integrate nella versione consumer di iOS.

Questi specializzati dovrebbero consentire ai test di penetrazione molto più accesso ai sistemi software sottostanti. In questo modo, possono trovare le vulnerabilità nel software molto più facilmente.

Gli iPhone saranno forniti come parte del programma di ricerca sulla sicurezza iOS di Apple, che prevede di lanciare il prossimo anno.

Vale la pena notare che esiste un mercato nero esistente per i suddetti iPhone "dev".

Secondo un rapporto di Motherboard all'inizio di quest'anno, questi iPhone pre-release a volte vengono contrabbandati fuori dalla linea di produzione di Apple. Da lì, spesso ottengono un prezzo elevato prima di raggiungere ladri, hacker e ricercatori di sicurezza.

Vulnerabilità notevoli

Mentre la politica di sicurezza cambia e gli iPhone degli hacker sono le più grandi novità di Black Hat e Def Con, ricercatori di sicurezza e hacker white hat hanno anche rivelato una serie di notevoli problemi legati ad Apple vulnerabilità.

Questi sono importanti da notare se utilizzi un dispositivo Apple e desideri mantenere la privacy e la sicurezza dei tuoi dati.

Bypass ID viso

Apple afferma che Face ID è significativamente più sicuro di Touch ID. E in pratica, in realtà è molto più difficile da aggirare. Ma ciò non significa che gli exploit non esistano.

I ricercatori di Tencent hanno scoperto di essere in grado di ingannare il sistema di rilevamento della "vitalità" di Face ID. In sostanza, è una misura pensata per distinguere le caratteristiche reali o false sugli esseri umani e impedisce alle persone di sbloccare il tuo dispositivo con la tua faccia mentre dormi.

I ricercatori hanno sviluppato un metodo proprietario che può ingannare il sistema semplicemente usando occhiali e nastro adesivo. In sostanza, questi occhiali "falsi" possono emulare l'aspetto di un occhio sul viso di una persona incosciente.

Tuttavia, l'exploit funziona solo su persone inconsapevoli. Ma è preoccupante. I ricercatori sono stati in grado di mettere gli occhiali falsi su una persona che dormiva.

Da lì, potrebbero sbloccare il dispositivo della persona e inviare denaro a se stessi tramite una piattaforma di pagamento mobile.

Contatti App

Il sistema operativo iOS di Apple, come piattaforma walled garden, è abbastanza resistente agli attacchi. In parte, ciò è dovuto al fatto che non esiste un modo semplice per eseguire app non firmate sulla piattaforma.

Ma i ricercatori di sicurezza di Check Point al Def Con 2019 hanno trovato un modo per sfruttare un bug nell'app Contatti che potrebbe consentire agli hacker di eseguire codice non firmato sul tuo iPhone.

La vulnerabilità è in realtà un bug nel formato del database SQLite, utilizzato dall'app Contatti. (La maggior parte delle piattaforme, da iOS e macOS a Windows 10 e Google Chrome, utilizza effettivamente il formato.)

I ricercatori hanno scoperto di essere in grado di eseguire codice dannoso su un iPhone interessato, incluso uno script che ha rubato le password di un utente. Sono stati anche in grado di ottenere la persistenza, il che significa che potevano continuare a eseguire il codice dopo un riavvio.

Fortunatamente, la vulnerabilità si basa sull'installazione di un database dannoso su un dispositivo sbloccato. Quindi, finché non permetti a un hacker di avere accesso fisico al tuo iPhone sbloccato, dovresti essere a posto.

Cavi dannosi

È stato a lungo consigliato di non collegare unità USB casuali al computer. Grazie a uno sviluppo recente, probabilmente non dovresti nemmeno collegare cavi Lightning casuali al tuo computer.

Ciò è dovuto al cavo O.MG, uno strumento di hacking specializzato sviluppato dal ricercatore di sicurezza MG e mostrato al Def Con quest'anno.

Il cavo O.MG sembra e funziona esattamente come un tipico cavo Apple Lightning. Può caricare il tuo iPhone e può collegare il tuo dispositivo al tuo Mac o PC.

Ma all'interno dell'alloggiamento del cavo c'è in realtà un impianto proprietario che potrebbe consentire a un utente malintenzionato l'accesso remoto al tuo computer. Quando è collegato, un hacker potrebbe aprire il Terminale ed eseguire comandi dannosi, tra le altre attività.

Fortunatamente, i cavi sono attualmente solo fatti a mano e costano $ 200 ciascuno. Questo dovrebbe ridurre il rischio. Ma andando avanti, probabilmente vorrai evitare di collegare cavi Lightning casuali al tuo Mac.