Ево зашто ће ваши Аппле уређаји постати много безбеднији

Иако су Аппле уређаји познати по својим безбедносним и приватним функцијама, нису нерањиви превише хакерским или другим нападима. Срећом, Аппле уређаји ће ускоро постати много сигурнији.

Повезан:

• Побољшања приватности и безбедности иОС 13 најављена су на ВВДЦ-у
• Ево нових функција безбедности и приватности које долазе у мацОС Мојаве и иОС 12
• Савети за Мац безбедност и избегавање вируса

То је због недавних промена политике Аппле-а најављених на безбедносним конференцијама Блацк Хат-а у Лас Вегасу овог месеца. Поред тога, постоје и неки значајни подвизи откривени на Блацк Хат и Деф Цон 2019.

Ево шта би требало да знате о недавним Аппле безбедносним вестима.

Аппле-ова безбедносна политика се мења

Иван Крстић, Апплеов шеф безбедносног инжењеринга, дао је неколико значајних најава на овогодишњој Блацк Хат конференцији.

Иако су најаве биле усмерене на етичке хакере и истраживаче безбедности, оне представљају велике промене у Апплеовој безбедносној политици. Ово би могло довести до много сигурнијих уређаја у будућности.

Буг Боунти Програм

Највећа вест у вези са Апплеом са безбедносне конференције Блацк Хат у августу била је значајно проширење Аппле-овог програма за награђивање грешака.

У суштини, програм за награђивање грешака је начин да етички хакери и истраживачи безбедности помогну у јачању постојећих платформи. Једном када пронађу грешку или рањивост у иОС-у, на пример, пријављују ту грешку Аппле-у — и за то бивају плаћени.

Што се промена тиче, Аппле убудуће проширује програм за награђивање грешака на мацОС уређаје. Такође повећава максималну величину награде са 200.000 долара по експлоатацији на 1 милион долара по експлоатацији. То, наравно, зависи од тога колико је озбиљно.

Аппле је први пут представио иОС програм за награђивање грешака још 2016. Али до овог августа, није постојао такав програм за мацОС (који је, у суштини, рањивији на нападе од Аппле-овог мобилног оперативног система).

То је чувено изазвало проблеме када је немачки хакер првобитно одбио да пријави детаље одређене грешке Аппле-у. Хакер је навео недостатак исплате као разлог, иако је на крају дао Апплеу детаље.

Пре-Јаилброкен иПхоне

Аппле ће такође обезбедити специјализоване иПхоне уређаје провереним хакерима и истраживачима безбедности како би могли да покушају да разбију иОС.

иПхоне уређаји су описани као „дев“ уређаји који су пре-јаилбреакирани, којима недостају многе безбедносне мере уграђене у потрошачку верзију иОС-а.

Ови специјализовани би требало да омогуће тестерима пенетрације много већи приступ основним софтверским системима. На тај начин могу много лакше пронаћи рањивости у софтверу.

иПхоне уређаји ће бити обезбеђени као део Аппле-овог иОС Сецурити Ресеарцх Девице Програма, који планира да покрене следеће године.

Вреди напоменути да постоји црно тржиште за горе поменуте „дев“ иПхоне уређаје.

Према извештају о матичној плочи од раније ове године, ови иПхоне-и пре издања понекад се кријумчаре из Аппле-ове производне линије. Одатле често постижу високу цену пре него што на крају дођу до лопова, хакера и истраживача безбедности.

Значајне рањивости

Док су промене безбедносне политике и хакерски иПхоне-ови највећа вест из Блацк Хат-а и Деф Цон-а, Истраживачи безбедности и хакери са белим шеширима такође су открили бројне значајне ствари везане за Аппле рањивости.

Ово је важно напоменути ако користите Аппле уређај и желите да очувате приватност и безбедност података.

Фаце ИД Бипасс

Аппле каже да је Фаце ИД знатно сигурнији од Тоуцх ИД-а. А у пракси, то је заправо много теже заобићи. Али то не значи да експлоати не постоје.

Истраживачи из Тенцента су открили да су успели да преваре Фаце ИД систем детекције „живости“. У суштини, то је мера намењена разликовању стварних или лажних карактеристика на људским бићима — и спречава људе да откључају ваш уређај вашим лицем док спавате.

Истраживачи су развили власнички метод који може преварити систем само коришћењем наочара и траке. У суштини, ове „лажне“ наочаре могу опонашати изглед ока на лицу особе без свести.

Међутим, експлоатација функционише само на несвесним људима. Али то је забрињавајуће. Истраживачи су успели да ставе лажне наочаре на особу која спава.

Одатле су могли да откључају уређај особе и пошаљу новац себи преко платформе за мобилно плаћање.

Апликација Цонтацтс

Аппле-ов иОС оперативни систем, као платформа са зидовима, прилично је отпоран на нападе. Делимично, то је зато што не постоји једноставан начин за покретање непотписаних апликација на платформи.

Али истраживачи безбедности из Цхецк Поинт-а на Деф Цон 2019 пронашли су начин да искористе грешку у апликацији Контакти која би могла дозволити хакерима да покрену непотписани код на вашем иПхоне-у.

Рањивост је заправо грешка у формату базе података СКЛите, коју користи апликација Контакти. (Већина платформи, од иОС-а и мацОС-а до Виндовс-а 10 и Гоогле Цхроме-а, заправо користи формат.)

Истраживачи су открили да су били у могућности да покрену злонамерни код на погођеном иПхоне-у, укључујући скрипту која је украла корисничке лозинке. Такође су успели да стекну упорност, што значи да су могли да наставе да покрећу код након поновног покретања.

Срећом, рањивост се ослања на инсталирање злонамерне базе података на откључани уређај. Дакле, све док не дозволите хакеру да има физички приступ вашем откључаном иПхоне-у, требало би да сте у реду.

Малициоус Цаблес

Одавно се препоручује да не укључујете насумичне УСБ дискове у рачунар. Захваљујући недавном развоју, вероватно не би требало да прикључите ни случајне Лигхтнинг каблове у рачунар.

То је због О.МГ кабла, специјализованог алата за хаковање који је развио истраживач безбедности МГ и који је ове године приказан на Деф Цон-у.

О.МГ кабл изгледа и функционише баш као типични Аппле Лигхтнинг кабл. Може да пуни ваш иПхоне и може да прикључи ваш уређај на ваш Мац или ПЦ.

Али унутар кућишта кабла је заправо власнички имплант који би могао омогућити нападачу даљински приступ вашем рачунару. Када је укључен, хакер може да отвори терминал и покрене злонамерне команде, између осталих задатака.

Срећом, каблови су тренутно само ручно рађени и коштају 200 долара сваки. То би требало да смањи ризик. Али у будућности, вероватно ћете желети да избегнете укључивање насумичних Лигхтнинг каблова у свој Мац.