Tukaj je razlog, zakaj bodo vaše naprave Apple kmalu postale veliko bolj varne

Čeprav so naprave Apple znane po svojih varnostnih in zasebnosti, niso ranljive zaradi vdorov ali drugih napadov. Na srečo bodo naprave Apple v prihodnosti postale veliko bolj varne.

Povezano:

• Izboljšave zasebnosti in varnosti iOS 13 so bile objavljene na WWDC
• Tu so nove funkcije varnosti in zasebnosti, ki prihajajo v macOS Mojave in iOS 12
• Nasveti za varnost Mac in izogibanje virusom

To je posledica nedavnih sprememb politike Apple, ki so bile objavljene na varnostnih konferencah Black Hat v Las Vegasu ta mesec. Poleg tega je na Black Hat in Def Con 2019 razkritih tudi nekaj pomembnih podvigov.

Tukaj je tisto, kar morate vedeti o nedavnih varnostnih novicah Apple.

Appleova varnostna politika se spreminja

Ivan Krstić, Appleov vodja varnostnega inženiringa, je na letošnji konferenci Black Hat podal nekaj pomembnih obvestil.

Medtem ko so bile objave namenjene etičnim hekerjem in varnostnim raziskovalcem, predstavljajo velike spremembe Appleovih varnostnih politik. To lahko zelo dobro povzroči veliko bolj varne naprave v prihodnosti.

Program Bug Bounty

Največja novica, povezana z Appleom na varnostni konferenci Black Hat tega avgusta, je bila pomembna razširitev Applovega programa za nagrajevanje napak.

V bistvu je program za nagrajevanje napak način, da etični hekerji in varnostni raziskovalci pomagajo krepiti obstoječe platforme. Ko na primer najdejo napako ali ranljivost pri iOS-u, to napako prijavijo Appleu - in za to dobijo plačilo.

Kar zadeva spremembe, Apple v prihodnje širi program za nagrajevanje napak na naprave macOS. Povečuje tudi najvišjo velikost nagrade z 200.000 $ na izkoriščanje na 1 milijon $ na izkoriščanje. To je seveda odvisno od tega, kako hudo je.

Apple je leta 2016 prvič predstavil iOS program za pridobivanje hrošč. Toda do letošnjega avgusta ni bilo takšnega programa za macOS (ki je po svoji naravi bolj ranljiv za napade kot Applov mobilni operacijski sistem).

To je slavno povzročilo težave, ko nemški heker sprva ni želel sporočiti podrobnosti o določeni napaki Appleu. Heker je kot razlog navedel pomanjkanje izplačila, čeprav je na koncu Appleu povedal podrobnosti.

Pre-jailbroken iPhones

Apple bo preverjenim hekerjem in varnostnim raziskovalcem zagotovil specializirane telefone iPhone, da bodo lahko poskusili zlomiti iOS.

Telefoni iPhone so opisani kot "razvijajoče" naprave, ki so bile pred zaprtjem v zaporu, ki nimajo številnih varnostnih ukrepov, vgrajenih v potrošniško različico iOS-a.

Ti specializirani bi morali preizkuševalcem penetracije omogočiti veliko več dostopa do osnovnih sistemov programske opreme. Tako lahko veliko lažje najdejo ranljivosti v programski opremi.

Telefoni iPhone bodo na voljo kot del Applovega programa iOS Security Research Device Program, ki ga namerava uvesti prihodnje leto.

Omeniti velja, da obstaja črni trg za prej omenjene "dev" iPhone.

Glede na poročilo o matični plošči iz začetka tega leta so te iPhone pred izdajo včasih pretihotapili iz Applove proizvodne linije. Od tam pogosto dosežejo visoko ceno, preden na koncu pridejo do tatov, hekerjev in varnostnih raziskovalcev.

Pomembne ranljivosti

Medtem ko so spremembe varnostne politike in hekerski iPhoni največja novica Black Hat in Def Con, varnostni raziskovalci in hekerji z belimi klobuki so razkrili tudi številne pomembne stvari, povezane z Apple ranljivosti.

To je pomembno upoštevati, če uporabljate napravo Apple in želite ohraniti zasebnost in varnost svojih podatkov.

Face ID Bypass

Apple pravi, da je Face ID bistveno bolj varen kot Touch ID. In v praksi ga je pravzaprav veliko težje zaobiti. Toda to ne pomeni, da podvigi ne obstajajo.

Raziskovalci iz Tencenta so ugotovili, da so lahko preslepili sistem za zaznavanje "živosti" Face ID. V bistvu je to ukrep, namenjen ločevanju resničnih ali lažnih funkcij na človeških bitjih – in preprečuje ljudem, da odklenejo vašo napravo z vašim obrazom, ko spite.

Raziskovalci so razvili lastniško metodo, ki lahko preslepi sistem samo z uporabo očal in traku. V bistvu lahko ta "ponarejena" očala posnemajo videz očesa na obrazu nezavestne osebe.

Vendar pa izkoriščanje deluje samo na nezavednih ljudeh. Je pa zaskrbljujoče. Raziskovalci so lahko nataknili ponarejena očala na spečo osebo.

Od tam bi lahko odklenili napravo osebe in si sami poslali denar prek platforme za mobilno plačevanje.

Aplikacija za stike

Appleov operacijski sistem iOS je kot obzidana platforma dokaj odporen na napade. Delno je to zato, ker ni enostavnega načina za zagon nepodpisanih aplikacij na platformi.

Toda varnostni raziskovalci iz Check Pointa na Def Con 2019 so našli način, kako izkoristiti napako v aplikaciji Contacts, ki bi lahko hekerjem omogočila izvajanje nepodpisane kode na vašem iPhoneu.

Ranljivost je pravzaprav napaka v formatu baze podatkov SQLite, ki jo uporablja aplikacija Contacts. (Večina platform, od iOS in macOS do Windows 10 in Google Chrome, dejansko uporablja obliko.)

Raziskovalci so ugotovili, da so lahko zagnali zlonamerno kodo na prizadetem iPhoneu, vključno s skriptom, ki je ukradel uporabniška gesla. Prav tako so lahko pridobili vztrajnost, kar pomeni, da so lahko še naprej izvajali kodo po ponovnem zagonu.

Na srečo se ranljivost opira na namestitev zlonamerne baze podatkov na odklenjeno napravo. Torej, dokler hekerju ne dovolite fizičnega dostopa do vašega odklenjenega iPhone-a, bi morali biti v redu.

Zlonamerni kabli

Že dolgo je priporočljivo, da naključnih USB-pogonov ne priključite v računalnik. Zahvaljujoč nedavnemu razvoju verjetno tudi ne bi smeli priključiti naključnih kablov Lightning v računalnik.

To je zaradi kabla O.MG, specializiranega orodja za vdiranje, ki ga je razvil varnostni raziskovalec MG in se je letos predstavil na Def Conu.

Kabel O.MG izgleda in deluje natanko kot tipičen Apple Lightning kabel. Lahko napolni vaš iPhone in lahko vašo napravo priključi na vaš Mac ali PC.

Toda znotraj ohišja kabla je pravzaprav lastniški vsadek, ki bi lahko napadalcu omogočil oddaljen dostop do vašega računalnika. Ko je priključen, lahko heker med drugimi opravili odpre terminal in zažene zlonamerne ukaze.

Na srečo so kabli trenutno samo ročno izdelani in stanejo po 200 $. To bi moralo zmanjšati tveganje. Toda v prihodnje se boste verjetno želeli izogniti priključitvi naključnih kablov Lightning v vaš Mac.