Хотя устройства Apple известны своими функциями безопасности и конфиденциальности, они не являются неуязвимыми для взлома или других атак. К счастью, устройства Apple в будущем станут намного более безопасными.
СОДЕРЖАНИЕ
- Связанный:
-
Изменения в политике безопасности Apple
- Программа Bug Bounty
- IPhone до взлома
-
Заметные уязвимости
- Обход Face ID
- Приложение "Контакты"
- Вредоносные кабели
- Похожие сообщения:
Связанный:
- На WWDC анонсированы улучшения конфиденциальности и безопасности iOS 13
- Вот новые функции безопасности и конфиденциальности, которые появятся в macOS Mojave и iOS 12
- Советы по безопасности Mac и предотвращению вирусов
Это связано с недавними изменениями в политике Apple, о которых было объявлено на конференциях по безопасности Black Hat в Лас-Вегасе в этом месяце. В дополнение к этому, на Black Hat и Def Con 2019 были обнаружены некоторые известные эксплойты.
Вот что вам следует знать о последних новостях в области безопасности Apple.
Изменения в политике безопасности Apple
Иван Крстич, глава отдела безопасности Apple, сделал несколько важных заявлений на конференции Black Hat в этом году.
Хотя эти объявления были нацелены на этичных хакеров и исследователей безопасности, они представляют собой серьезные изменения в политике безопасности Apple. Это вполне может привести к появлению гораздо более безопасных устройств.
Программа Bug Bounty
Самой большой связью Apple с конференцией по безопасности Black Hat в августе этого года стало значительное расширение программы Apple bug bounty.
По сути, программа поощрения ошибок - это способ для этичных хакеров и исследователей безопасности помочь укрепить существующие платформы. Как только они обнаруживают ошибку или уязвимость в iOS, например, они сообщают об этом недостатке в Apple - и получают за это деньги.
Что касается изменений, Apple в будущем расширяет программу вознаграждения за ошибки на устройства MacOS. Также увеличивается максимальный размер вознаграждения с 200 000 долларов за эксплойт до 1 миллиона долларов за эксплойт. Это, конечно, зависит от того, насколько это серьезно.
Apple впервые представила программу вознаграждений за ошибки в iOS еще в 2016 году. Но до августа этого года не существовало такой программы для macOS (которая по своей природе более уязвима для атак, чем мобильная операционная система Apple).
Это, как известно, вызвало проблемы, когда немецкий хакер сначала отказался сообщить подробности конкретной уязвимости в Apple. Причиной хакер назвал отсутствие выплат, хотя в конце концов он все-таки сообщил Apple подробности.
IPhone до взлома
Apple также предоставит специализированные iPhone проверенным хакерам и исследователям безопасности, чтобы они могли попытаться взломать iOS.
Айфоны описываются как устройства «разработчика» до взлома, в которых отсутствуют многие меры безопасности, встроенные в потребительскую версию iOS.
Эти специализированные должны предоставить тестерам на проникновение гораздо больший доступ к базовым программным системам. Таким образом, им будет намного проще находить уязвимости в программном обеспечении.
IPhone будет предоставлен в рамках программы Apple по исследованию безопасности устройств iOS, которую компания планирует запустить в следующем году.
Стоит отметить, что существует черный рынок вышеупомянутых iPhone для разработчиков.
Согласно отчету о материнских платах, опубликованному ранее в этом году, эти предварительные версии iPhone иногда контрабандой вывозятся с производственной линии Apple. Оттуда они часто получают высокую цену, прежде чем в конечном итоге достигнут воров, хакеров и исследователей безопасности.
Заметные уязвимости
Хотя изменения в политике безопасности и хакерские айфоны - самая большая новость для Black Hat и Def Con, исследователи безопасности и хакеры в белой шляпе также выявили ряд заметных связанных с Apple уязвимости.
Это важно отметить, если вы используете устройство Apple и хотите сохранить конфиденциальность и безопасность своих данных.
Обход Face ID
Apple заявляет, что Face ID значительно безопаснее Touch ID. А на практике обойтись гораздо труднее. Но это не значит, что эксплойтов не существует.
Исследователи из Tencent обнаружили, что им удалось обмануть систему обнаружения «живучести» Face ID. По сути, это мера, позволяющая различать настоящие или поддельные черты людей - и она не позволяет людям разблокировать ваше устройство с помощью лица, когда вы спите.
Исследователи разработали запатентованный метод, позволяющий обмануть систему, просто используя очки и скотч. По сути, эти «поддельные» очки могут имитировать взгляд на лице человека без сознания.
Однако эксплойт работает только с людьми, находящимися без сознания. Но это тревожно. Исследователям удалось надеть фальшивые очки на спящего.
Оттуда они могли разблокировать устройство человека и отправлять деньги себе через мобильную платежную платформу.
Приложение "Контакты"
Операционная система iOS от Apple, как обнесенная стеной платформа, довольно устойчива к атакам. Отчасти потому, что на платформе нет простого способа запускать неподписанные приложения.
Но исследователи безопасности из Check Point на Def Con 2019 нашли способ воспользоваться ошибкой в приложении «Контакты», которая могла позволить хакерам запускать неподписанный код на вашем iPhone.
Уязвимость на самом деле является ошибкой в формате базы данных SQLite, который использует приложение «Контакты». (Большинство платформ, от iOS и macOS до Windows 10 и Google Chrome, фактически используют этот формат.)
Исследователи обнаружили, что им удавалось запускать вредоносный код на пораженном iPhone, в том числе скрипт, крадущий пароли пользователей. Они также смогли получить настойчивость, что означает, что они могли продолжать выполнять код после перезагрузки.
К счастью, уязвимость основана на установке вредоносной базы данных на разблокированном устройстве. Итак, если вы не позволяете хакеру иметь физический доступ к вашему разблокированному iPhone, с вами все будет в порядке.
Вредоносные кабели
Давно не рекомендуется подключать к компьютеру случайные USB-накопители. Благодаря недавней разработке, вам, вероятно, не следует подключать к компьютеру случайные кабели Lightning.
Это из-за кабеля O.MG, специализированного хакерского инструмента, разработанного исследователем безопасности MG и продемонстрированного на Def Con в этом году.
Кабель O.MG выглядит и работает так же, как обычный кабель Apple Lightning. Он может заряжать ваш iPhone и может подключать ваше устройство к вашему Mac или ПК.
Но на самом деле внутри корпуса кабеля находится проприетарный имплант, который может позволить злоумышленнику удаленный доступ к вашему компьютеру. Когда он подключен, хакер может открыть Терминал и, среди прочего, запускать вредоносные команды.
К счастью, в настоящее время кабели производятся только вручную и стоят 200 долларов за штуку. Это должно снизить риск. Но в будущем вы, вероятно, не захотите подключать к Mac случайные кабели Lightning.
Майк - внештатный журналист из Сан-Диего, Калифорния.
Хотя он в основном занимается Apple и потребительскими технологиями, у него есть прошлый опыт написания статей об общественной безопасности, местном самоуправлении и образовании для различных публикаций.
У него немало шляп в области журналистики, в том числе писатель, редактор и дизайнер новостей.