Iată de ce dispozitivele dvs. Apple sunt pe cale să devină mult mai sigure

În timp ce dispozitivele Apple sunt renumite pentru caracteristicile lor de securitate și confidențialitate, ele nu sunt invulnerabile la hacking sau alte atacuri. Din fericire, dispozitivele Apple sunt pe cale să devină mult mai sigure în viitor.

Legate de:

• Îmbunătățirile de confidențialitate și securitate pentru iOS 13 anunțate la WWDC
• Iată noile funcții de securitate și confidențialitate care vin pe macOS Mojave și iOS 12
• Sfaturi pentru securitatea Mac și evitarea virușilor

Acest lucru se datorează modificărilor recente ale politicii Apple anunțate la conferințele de securitate Black Hat din Las Vegas luna aceasta. În plus, există și câteva exploit-uri notabile dezvăluite la Black Hat și Def Con 2019.

Iată ce ar trebui să știți despre știrile recente de securitate Apple.

Politica de securitate a Apple se modifică

Ivan Krstić, șeful de inginerie de securitate al Apple, a făcut câteva anunțuri semnificative la conferința Black Hat de anul acesta.

În timp ce anunțurile s-au adresat hackerilor etici și cercetătorilor de securitate, ele reprezintă schimbări majore ale politicilor de securitate ale Apple. Acestea pot avea ca rezultat dispozitive mult mai sigure pe viitor.

Programul Bug Bounty

Cea mai mare știre legată de Apple de la conferința de securitate Black Hat din august a fost o extindere semnificativă a programului Apple de recompense pentru erori.

În esență, un program de recompensă pentru erori este o modalitate prin care hackerii etici și cercetătorii de securitate pot ajuta la consolidarea platformelor existente. Odată ce găsesc o eroare sau o vulnerabilitate cu iOS, de exemplu, raportează acel defect lui Apple și sunt plătiți pentru asta.

În ceea ce privește modificările, Apple extinde programul de recompensă pentru erori la dispozitivele macOS în viitor. De asemenea, crește dimensiunea maximă a unei recompense de la 200.000 USD per exploit la 1 milion USD per exploit. Asta, desigur, depinde de cât de grav este.

Apple a introdus pentru prima dată un program de recompensă pentru erori pentru iOS în 2016. Dar până în august nu a existat un astfel de program pentru macOS (care este, în mod inerent, mai vulnerabil la atacuri decât sistemul de operare mobil al Apple).

Acest lucru a cauzat probleme când un hacker german a refuzat inițial să raporteze detaliile unui anumit defect către Apple. Hackerul a invocat lipsa plății drept motiv, chiar dacă în cele din urmă a dat Apple detaliile.

iPhone-uri pre-jailbreak

De asemenea, Apple va furniza iPhone-uri specializate hackerilor verificați și cercetătorilor de securitate, astfel încât aceștia să poată încerca să spargă iOS.

iPhone-urile sunt descrise ca dispozitive „dev” pre-jailbreak, cărora le lipsesc multe dintre măsurile de securitate incluse în versiunea pentru consumatori a iOS.

Acestea specializate ar trebui să permită testerilor de penetrare mult mai mult acces la sistemele software de bază. În acest fel, ei pot găsi vulnerabilități în software mult mai ușor.

iPhone-urile vor fi furnizate ca parte a programului Apple de cercetare pentru dispozitive de securitate iOS, pe care intenționează să îl lanseze anul viitor.

Este demn de remarcat faptul că există o piață neagră existentă pentru iPhone-urile „dev” menționate mai sus.

Potrivit unui raport Motherboard de la începutul acestui an, aceste iPhone-uri pre-lansare sunt uneori scoase ilegal din linia de producție a Apple. De acolo, ei ajung adesea la un preț mare înainte de a ajunge în cele din urmă la hoți, hackeri și cercetători de securitate.

Vulnerabilitati notabile

În timp ce politica de securitate se schimbă, iar iPhone-urile hackerilor sunt cea mai mare știre din Black Hat și Def Con, cercetătorii de securitate și hackeri de pălărie albă au dezvăluit, de asemenea, o serie de notabile legate de Apple vulnerabilități.

Acestea sunt importante de reținut dacă utilizați un dispozitiv Apple și doriți să vă păstrați confidențialitatea și securitatea datelor.

Face ID Bypass

Apple spune că Face ID este mult mai sigur decât Touch ID. Și, în practică, este de fapt mult mai greu de ocolit. Dar asta nu înseamnă că exploatările nu există.

Cercetătorii de la Tencent au descoperit că au reușit să păcălească sistemul de detectare a „viii” al Face ID. În esență, este o măsură menită să distingă caracteristicile reale sau false ale ființelor umane - și îi împiedică pe oameni să-ți deblocheze dispozitivul cu fața atunci când dormi.

Cercetătorii au dezvoltat o metodă proprie care poate păcăli sistemul doar folosind ochelari și bandă. În esență, acești ochelari „falși” pot emula aspectul unui ochi pe fața unei persoane inconștiente.

Exploata funcționează numai asupra persoanelor inconștiente, totuși. Dar este îngrijorător. Cercetătorii au reușit să pună ochelarii falși unei persoane care doarme.

De acolo, ar putea debloca dispozitivul persoanei și își pot trimite bani prin intermediul unei platforme de plată mobilă.

Aplicația Contacte

Sistemul de operare iOS al Apple, ca platformă de grădină cu pereți, este destul de rezistent la atacuri. Parțial, asta se datorează faptului că nu există o modalitate ușoară de a rula aplicații nesemnate pe platformă.

Dar cercetătorii de securitate de la Check Point la Def Con 2019 au găsit o modalitate de a profita de o eroare din aplicația Contacte care ar putea permite hackerilor să execute cod nesemnat pe iPhone.

Vulnerabilitatea este de fapt o eroare în formatul bazei de date SQLite, pe care îl folosește aplicația Contacts. (Majoritatea platformelor, de la iOS și macOS la Windows 10 și Google Chrome, folosesc de fapt formatul.)

Cercetătorii au descoperit că au putut rula cod rău intenționat pe un iPhone afectat, inclusiv un script care a furat parolele unui utilizator. De asemenea, au reușit să câștige persistență, ceea ce înseamnă că ar putea continua să ruleze cod după o repornire.

Din fericire, vulnerabilitatea se bazează pe instalarea unei baze de date rău intenționate pe un dispozitiv deblocat. Deci, atâta timp cât nu permiteți unui hacker să aibă acces fizic la iPhone-ul dvs. deblocat, ar trebui să fiți în regulă.

Cabluri rău intenționate

Este recomandat de multă vreme să nu conectați unități USB aleatorii la computer. Datorită unei dezvoltări recente, probabil că nu ar trebui să conectați cabluri Lightning aleatorii nici la computer.

Acest lucru se datorează cablului O.MG, un instrument specializat de hacking dezvoltat de cercetătorul de securitate MG și prezentat la Def Con anul acesta.

Cablul O.MG arată și funcționează exact ca un cablu Apple Lightning tipic. Îți poate încărca iPhone-ul și poate conecta dispozitivul la Mac sau PC.

Dar în carcasa cablului se află de fapt un implant proprietar care ar putea permite unui atacator accesul de la distanță la computerul tău. Când este conectat, un hacker poate deschide terminalul și rula comenzi rău intenționate, printre alte sarcini.

Din fericire, cablurile sunt în prezent doar lucrate manual și costă 200 USD fiecare. Asta ar trebui să reducă riscul. Dar în continuare, probabil că veți dori să evitați conectarea aleatoare a cablurilor Lightning la Mac.