აი, რატომ ხდება თქვენი Apple მოწყობილობები ბევრად უფრო უსაფრთხოდ

მიუხედავად იმისა, რომ Apple მოწყობილობები განთქმულია უსაფრთხოებისა და კონფიდენციალურობის მახასიათებლებით, ისინი არ არიან დაუცველები ჰაკერების ან სხვა თავდასხმებისგან. საბედნიეროდ, Apple მოწყობილობები მომავალში ბევრად უფრო უსაფრთხო გახდება.

დაკავშირებული:

• iOS 13 კონფიდენციალურობისა და უსაფრთხოების გაუმჯობესებები გამოცხადდა WWDC-ზე
• აქ არის უსაფრთხოების და კონფიდენციალურობის ახალი ფუნქციები, რომლებიც მოდის macOS Mojave-სა და iOS 12-ზე
• რჩევები Mac უსაფრთხოებისა და ვირუსებისგან თავის არიდების შესახებ

ეს გამოწვეულია Apple-ის პოლიტიკის ბოლო ცვლილებებით, რომელიც გამოცხადდა Black Hat უსაფრთხოების კონფერენციაზე ამ თვეში ლას ვეგასში. გარდა ამისა, ასევე არის რამდენიმე მნიშვნელოვანი ექსპლოიტი, რომელიც გამოვლინდა Black Hat და Def Con 2019-ზე.

აი, რა უნდა იცოდეთ Apple-ის უსაფრთხოების ბოლო სიახლეების შესახებ.

Apple-ის უსაფრთხოების პოლიტიკა იცვლება

ივან კრსტიჩმა, Apple-ის უსაფრთხოების ინჟინერიის ხელმძღვანელმა, რამდენიმე მნიშვნელოვანი განცხადება გააკეთა წლევანდელ Black Hat კონფერენციაზე.

მიუხედავად იმისა, რომ განცხადებები გამიზნული იყო ეთიკური ჰაკერებისა და უსაფრთხოების მკვლევარებისთვის, ისინი წარმოადგენენ მნიშვნელოვან ცვლილებებს Apple-ის უსაფრთხოების პოლიტიკაში. ამან შეიძლება გამოიწვიოს ბევრად უფრო უსაფრთხო მოწყობილობები მომავალში.

Bug Bounty პროგრამა

Apple-თან დაკავშირებული ყველაზე დიდი სიახლე Black Hat უსაფრთხოების კონფერენციიდან ამ აგვისტოს იყო Apple-ის შეცდომების პრემიის პროგრამის მნიშვნელოვანი გაფართოება.

არსებითად, bug bounty პროგრამა არის გზა ეთიკური ჰაკერებისთვის და უსაფრთხოების მკვლევრებისთვის, რათა დაეხმარონ არსებული პლატფორმების გაძლიერებას. როგორც კი ისინი იპოვიან შეცდომას ან დაუცველობას, მაგალითად, iOS-ში, ისინი აცნობებენ ამ ხარვეზს Apple-ს - და იღებენ ფულს ამისთვის.

რაც შეეხება ცვლილებებს, Apple აფართოებს bug bounty პროგრამას macOS მოწყობილობებზე მომავალში. ის ასევე ზრდის ბონუსის მაქსიმალურ ზომას $200,000-დან 1 მილიონ დოლარამდე ერთ ექსპლოატზე. ეს, რა თქმა უნდა, დამოკიდებულია იმაზე, თუ რამდენად მძიმეა.

Apple-მა პირველად 2016 წელს წარადგინა iOS-ის შეცდომების დაჯავშნის პროგრამა. მაგრამ ამ აგვისტომდე არ არსებობდა ასეთი პროგრამა macOS-ისთვის (რომელიც, არსებითად, უფრო დაუცველია შეტევების მიმართ, ვიდრე Apple-ის მობილური ოპერაციული სისტემა).

ამან გამოიწვია პრობლემები, როდესაც გერმანელმა ჰაკერმა თავდაპირველად უარი თქვა Apple-ისთვის კონკრეტული ხარვეზის დეტალების შესახებ. ჰაკერმა მიზეზად ანაზღაურების ნაკლებობა დაასახელა, მიუხედავად იმისა, რომ საბოლოოდ მან Apple-ს დეტალები მიაწოდა.

წინასწარ ჯეილბრეიკული iPhones

Apple ასევე მიაწვდის სპეციალიზებულ iPhone-ებს შემოწმებულ ჰაკერებსა და უსაფრთხოების მკვლევარებს, რათა მათ შეძლონ iOS-ის გატეხვა.

iPhone-ები აღწერილია, როგორც წინასწარ ჯეილბრეიკული, "dev" მოწყობილობები, რომლებსაც არ გააჩნიათ უსაფრთხოების მრავალი ზომა, რომელიც გამომცხვარია iOS-ის სამომხმარებლო ვერსიაში.

ამ სპეციალიზებულებმა უნდა მისცენ შეღწევადობის ტესტერებს უფრო მეტი წვდომა საფუძვლიან პროგრამულ სისტემებზე. ამ გზით, მათ შეუძლიათ უფრო ადვილად იპოვონ დაუცველობა პროგრამულ უზრუნველყოფაში.

iPhone-ები უზრუნველყოფილი იქნება Apple-ის iOS უსაფრთხოების კვლევითი მოწყობილობის პროგრამის ფარგლებში, რომლის გაშვებას ის მომავალ წელს გეგმავს.

აღსანიშნავია, რომ არსებობს შავი ბაზარი ზემოხსენებული "dev" iPhone-ებისთვის.

ამ წლის დასაწყისში Motherboard-ის მოხსენების თანახმად, ეს წინასწარ გამოშვებული iPhone-ები ზოგჯერ კონტრაბანდულად გადის Apple-ის წარმოების ხაზიდან. იქიდან ისინი ხშირად იღებენ მაღალ ფასს, სანამ საბოლოოდ მიაღწევენ ქურდებს, ჰაკერებს და უსაფრთხოების მკვლევარებს.

შესამჩნევი სისუსტეები

მიუხედავად იმისა, რომ უსაფრთხოების პოლიტიკა იცვლება და ჰაკერული iPhone-ები ყველაზე დიდი სიახლეა Black Hat და Def Con-ში, უსაფრთხოების მკვლევარებმა და თეთრი ქუდის ჰაკერებმა ასევე გამოავლინეს Apple-თან დაკავშირებული რამდენიმე მნიშვნელოვანი სისუსტეები.

ეს მნიშვნელოვანია გაითვალისწინოთ, თუ იყენებთ Apple მოწყობილობას და გსურთ შეინარჩუნოთ თქვენი მონაცემების კონფიდენციალურობა და უსაფრთხოება.

Face ID შემოვლითი

Apple ამბობს, რომ Face ID მნიშვნელოვნად უფრო უსაფრთხოა, ვიდრე Touch ID. და პრაქტიკაში, რეალურად გაცილებით რთულია გვერდის ავლით. მაგრამ ეს არ ნიშნავს, რომ ექსპლოიტები არ არსებობს.

Tencent-ის მკვლევარებმა დაადგინეს, რომ მათ შეძლეს Face ID-ის „სიცოცხლის“ გამოვლენის სისტემის მოტყუება. არსებითად, ეს არის საზომი, რომელიც მიზნად ისახავს ადამიანების რეალური ან ყალბი თვისებების გარჩევას - და ის ხელს უშლის ადამიანებს თქვენი მოწყობილობის განბლოკვისგან თქვენი სახით, როცა გძინავთ.

მკვლევარებმა შეიმუშავეს საკუთრების მეთოდი, რომელსაც შეუძლია სისტემის მოტყუება მხოლოდ სათვალეებისა და ლენტის გამოყენებით. არსებითად, ამ "ყალბი" სათვალეების მიბაძვა შესაძლებელია უგონო ადამიანის სახეზე.

თუმცა, ექსპლოიტი მუშაობს მხოლოდ უგონო ადამიანებზე. მაგრამ შემაშფოთებელია. მკვლევარებმა შეძლეს ყალბი სათვალე მძინარე ადამიანს დაესვათ.

იქიდან მათ შეეძლოთ განბლოკონ პირის მოწყობილობა და გაუგზავნონ ფული თავისთვის მობილური გადახდის პლატფორმის საშუალებით.

კონტაქტების აპლიკაცია

Apple-ის iOS ოპერაციული სისტემა, როგორც კედელ-ბაღის პლატფორმა, საკმაოდ მდგრადია თავდასხმების მიმართ. ნაწილობრივ, ეს იმიტომ, რომ არ არსებობს მარტივი გზა ხელმოუწერელი აპების პლატფორმაზე გასაშვებად.

მაგრამ უსაფრთხოების მკვლევარებმა Check Point-დან Def Con 2019-ზე იპოვეს გზა, რომ ისარგებლონ კონტაქტების აპში არსებული შეცდომით, რომელიც ჰაკერებს საშუალებას აძლევს, გაუშვან ხელმოუწერელი კოდი თქვენს iPhone-ზე.

დაუცველობა რეალურად არის შეცდომა SQLite მონაცემთა ბაზის ფორმატში, რომელსაც იყენებს კონტაქტების აპლიკაცია. (პლატფორმების უმეტესობა, iOS-დან და macOS-დან Windows 10-მდე და Google Chrome-მდე, რეალურად იყენებს ფორმატს.)

მკვლევარებმა აღმოაჩინეს, რომ მათ შეძლეს მავნე კოდის გაშვება დაზიანებულ iPhone-ზე, მათ შორის სკრიპტის ჩათვლით, რომელიც მოიპარა მომხმარებლის პაროლები. მათ ასევე შეძლეს გამძლეობის მოპოვება, რაც იმას ნიშნავს, რომ მათ შეეძლოთ გააგრძელონ კოდის გაშვება გადატვირთვის შემდეგ.

საბედნიეროდ, დაუცველობა ეყრდნობა მავნე მონაცემთა ბაზის დაყენებას განბლოკილ მოწყობილობაზე. ასე რომ, სანამ ჰაკერს არ მისცემთ უფლებას, ჰქონდეს ფიზიკური წვდომა თქვენს განბლოკილ iPhone-ზე, თქვენ კარგად უნდა იყოთ.

მავნე კაბელები

დიდი ხანია რეკომენდირებულია, რომ არ შეაერთოთ შემთხვევითი USB დისკები თქვენს კომპიუტერში. უახლესი განვითარების წყალობით, თქვენ ალბათ არ უნდა შეაერთოთ შემთხვევითი Lightning კაბელები თქვენს კომპიუტერში.

ეს არის O.MG კაბელის გამო, სპეციალიზებული ჰაკერული ინსტრუმენტი, რომელიც შემუშავებულია უსაფრთხოების მკვლევარ MG-ის მიერ და აჩვენა ამ წელს Def Con-ზე.

O.MG კაბელი გამოიყურება და ფუნქციონირებს ზუსტად ისე, როგორც ტიპიური Apple Lightning კაბელი. მას შეუძლია თქვენი iPhone-ის დატენვა და თქვენი მოწყობილობის შეერთება Mac-ში ან PC-ში.

მაგრამ კაბელის კორპუსში რეალურად არის საკუთრების იმპლანტი, რომელიც თავდამსხმელს თქვენს კომპიუტერზე დისტანციური წვდომის საშუალებას აძლევს. როდესაც ის ჩართულია, ჰაკერს შეუძლია გახსნას ტერმინალი და გაუშვას მავნე ბრძანებები, სხვა ამოცანებს შორის.

საბედნიეროდ, კაბელები ამჟამად მხოლოდ ხელნაკეთია და თითო $200 ღირს. ამან უნდა შეამციროს რისკი. მაგრამ მომავალში, თქვენ ალბათ მოგინდებათ თავიდან აიცილოთ შემთხვევითი Lightning კაბელები თქვენს Mac-ში.