นี่คือสาเหตุที่อุปกรณ์ Apple ของคุณกำลังจะมีความปลอดภัยมากขึ้น

แม้ว่าอุปกรณ์ Apple จะมีชื่อเสียงในด้านคุณสมบัติด้านความปลอดภัยและความเป็นส่วนตัว แต่ก็ไม่สามารถป้องกันการแฮ็กหรือการโจมตีอื่นๆ ได้ โชคดีที่อุปกรณ์ Apple กำลังจะได้รับความปลอดภัยมากขึ้นในอนาคต

สารบัญ

    • ที่เกี่ยวข้อง:
  • การเปลี่ยนแปลงนโยบายความปลอดภัยของ Apple
    • Bug Bounty Program
    • ไอโฟนที่เจลเบรคแล้ว
  • ช่องโหว่ที่โดดเด่น
    • เลี่ยงรหัสประจำตัว
    • แอพรายชื่อ
    • สายเคเบิลที่เป็นอันตราย
    • กระทู้ที่เกี่ยวข้อง:

ที่เกี่ยวข้อง:

  • ประกาศการปรับปรุงความเป็นส่วนตัวและความปลอดภัย iOS 13 ที่ WWDC
  • ฟีเจอร์ความปลอดภัยและความเป็นส่วนตัวใหม่ที่มาพร้อม macOS Mojave และ iOS 12. มีดังนี้
  • เคล็ดลับเพื่อความปลอดภัยของ Mac และการหลีกเลี่ยงไวรัส

นั่นเป็นเพราะการเปลี่ยนแปลงนโยบายล่าสุดของ Apple ที่ประกาศในการประชุมด้านความปลอดภัยของ Black Hat ในลาสเวกัสในเดือนนี้ นอกจากนั้น ยังมีช่องโหว่เด่นบางส่วนที่เปิดเผยในงาน Black Hat และ Def Con 2019

นี่คือสิ่งที่คุณควรรู้เกี่ยวกับข่าวความปลอดภัยของ Apple ล่าสุด

การเปลี่ยนแปลงนโยบายความปลอดภัยของ Apple

Ivan Krstić หัวหน้าฝ่ายวิศวกรรมความปลอดภัยของ Apple ได้ประกาศสำคัญสองสามเรื่องในการประชุม Black Hat ปีนี้

แม้ว่าการประกาศดังกล่าวจะมุ่งเป้าไปที่แฮ็กเกอร์ที่มีจริยธรรมและนักวิจัยด้านความปลอดภัย แต่ก็แสดงถึงการเปลี่ยนแปลงครั้งสำคัญในนโยบายความปลอดภัยของ Apple สิ่งเหล่านี้อาจส่งผลให้อุปกรณ์มีความปลอดภัยมากขึ้นในอนาคต

Bug Bounty Program

ความปลอดภัยของ Apple - Bug Bounty
ประกาศของ Apple ที่ Black Hat 2019 รูปภาพผ่าน @mikebdotorg

ข่าวที่เกี่ยวข้องกับ Apple ที่ใหญ่ที่สุดจากการประชุมด้านความปลอดภัยของ Black Hat ในเดือนสิงหาคมนี้คือการขยายตัวที่สำคัญของโปรแกรม Bug Bounty ของ Apple

โดยพื้นฐานแล้ว โปรแกรมหาบั๊กเป็นวิธีหนึ่งสำหรับแฮ็กเกอร์ที่มีจริยธรรมและนักวิจัยด้านความปลอดภัยเพื่อช่วยเสริมความแข็งแกร่งให้กับแพลตฟอร์มที่มีอยู่ เมื่อพวกเขาพบจุดบกพร่องหรือจุดอ่อนใน iOS เช่น พวกเขารายงานข้อบกพร่องนั้นต่อ Apple และรับเงินสำหรับข้อบกพร่องนั้น

เท่าที่การเปลี่ยนแปลง Apple กำลังขยายโปรแกรม Bounty Bounty ไปยังอุปกรณ์ macOS ในอนาคต นอกจากนี้ยังเพิ่มขนาดสูงสุดของเงินรางวัลจาก $200,000 ต่อการหาช่องโหว่เป็น 1 ล้านเหรียญต่อการโกงแต่ละครั้ง แน่นอนว่าขึ้นอยู่กับความรุนแรงของมัน

Apple เปิดตัวโปรแกรมหาข้อผิดพลาดของ iOS เป็นครั้งแรกในปี 2559 แต่จนถึงเดือนสิงหาคมนี้ ยังไม่มีโปรแกรมดังกล่าวสำหรับ macOS (ซึ่งโดยเนื้อแท้แล้ว เสี่ยงต่อการถูกโจมตีมากกว่าระบบปฏิบัติการมือถือของ Apple)

นั่นทำให้เกิดปัญหาขึ้นเมื่อแฮ็กเกอร์ชาวเยอรมันปฏิเสธที่จะรายงานรายละเอียดของข้อบกพร่องที่เฉพาะเจาะจงต่อ Apple ในขั้นต้น แฮ็กเกอร์อ้างว่าเหตุผลของการขาดการจ่ายเงินแม้ว่าในที่สุดเขาจะให้รายละเอียดกับ Apple แล้วก็ตาม

ไอโฟนที่เจลเบรคแล้ว

Apple Security - สำหรับนักพัฒนา iPhones
สไลด์อธิบายโครงการวิจัยความปลอดภัยของ iPhone ของ Apple รูปภาพผ่าน @ 0x30n

Apple จะจัดหา iPhones เฉพาะให้กับแฮ็กเกอร์ที่ตรวจสอบแล้วและนักวิจัยด้านความปลอดภัยเพื่อให้พวกเขาสามารถลองทำลาย iOS

iPhones ได้รับการอธิบายว่าเป็นอุปกรณ์ "dev" ก่อนเจลเบรกซึ่งไม่มีมาตรการรักษาความปลอดภัยหลายอย่างที่รวมเข้ากับ iOS เวอร์ชันสำหรับผู้บริโภค

ผู้เชี่ยวชาญเหล่านี้ควรอนุญาตให้ผู้ทดสอบการเจาะระบบเข้าถึงระบบซอฟต์แวร์พื้นฐานได้มากขึ้น ด้วยวิธีนี้ พวกเขาสามารถค้นหาช่องโหว่ในซอฟต์แวร์ได้ง่ายขึ้นมาก

iPhones จะถูกจัดเตรียมโดยเป็นส่วนหนึ่งของโครงการวิจัยอุปกรณ์ความปลอดภัย iOS ของ Apple ซึ่งมีแผนจะเปิดตัวในปีหน้า

เป็นที่น่าสังเกตว่ามีตลาดมืดสำหรับไอโฟน "dev" ดังกล่าว

ตามรายงานของมาเธอร์บอร์ดเมื่อต้นปีนี้ iPhones รุ่นก่อนวางจำหน่ายเหล่านี้บางครั้งถูกลักลอบนำเข้าจากสายการผลิตของ Apple จากที่นั่น พวกเขามักจะได้ราคาสูงก่อนที่จะไปถึงหัวขโมย แฮกเกอร์ และนักวิจัยด้านความปลอดภัยในที่สุด

ช่องโหว่ที่โดดเด่น

ในขณะที่การเปลี่ยนแปลงนโยบายความปลอดภัยและแฮ็กเกอร์ iPhone เป็นข่าวที่ใหญ่ที่สุดจาก Black Hat และ Def Con นักวิจัยด้านความปลอดภัยและแฮกเกอร์หมวกขาวยังเปิดเผยข้อมูลที่เกี่ยวข้องกับ Apple ที่โดดเด่นจำนวนหนึ่ง ช่องโหว่

สิ่งเหล่านี้เป็นสิ่งสำคัญที่ควรทราบหากคุณใช้อุปกรณ์ Apple และคุณต้องการรักษาความเป็นส่วนตัวและความปลอดภัยของข้อมูลของคุณ

เลี่ยงรหัสประจำตัว

ความปลอดภัยของ Apple - Face ID
แว่นตาพิเศษเหล่านี้พัฒนาโดยนักวิจัยที่ Tencent สามารถเลี่ยงผ่าน Face ID ได้ รูปภาพผ่าน Threatpost

Apple กล่าวว่า Face ID มีความปลอดภัยมากกว่า Touch ID อย่างมาก และในทางปฏิบัติ การเลี่ยงผ่านยากกว่ามาก แต่นั่นไม่ได้หมายความว่าจะไม่มีการหาประโยชน์

นักวิจัยจาก Tencent พบว่าพวกเขาสามารถหลอกระบบตรวจจับ "ความมีชีวิตชีวา" ของ Face ID ได้ โดยพื้นฐานแล้ว การวัดนี้เป็นการวัดเพื่อแยกแยะคุณลักษณะจริงหรือของปลอมของมนุษย์ และป้องกันไม่ให้ผู้อื่นปลดล็อกอุปกรณ์ด้วยใบหน้าของคุณเมื่อคุณนอนหลับ

นักวิจัยได้พัฒนาวิธีการที่เป็นกรรมสิทธิ์ซึ่งสามารถหลอกระบบได้เพียงแค่ใช้แว่นตาและเทป โดยพื้นฐานแล้ว แว่นตา "ของปลอม" เหล่านี้สามารถเลียนแบบรูปลักษณ์ของดวงตาบนใบหน้าของบุคคลที่หมดสติได้

อย่างไรก็ตาม การเอารัดเอาเปรียบใช้ได้เฉพาะกับคนที่ไม่ได้สติเท่านั้น แต่มันน่าเป็นห่วง นักวิจัยสามารถใส่แว่นปลอมทับคนนอนหลับได้

จากนั้นพวกเขาสามารถปลดล็อกอุปกรณ์ของบุคคลนั้นและส่งเงินให้ตัวเองผ่านแพลตฟอร์มการชำระเงินผ่านมือถือ

แอพรายชื่อ

ความปลอดภัยของ Apple - ผู้ติดต่อ
ข้อบกพร่องในรูปแบบฐานข้อมูล SQLite อาจทำให้แอป iOS Contacts ของ Apple เสี่ยงต่อการถูกโจมตี

ระบบปฏิบัติการ iOS ของ Apple ในฐานะแพลตฟอร์มที่มีกำแพงล้อมรอบนั้นค่อนข้างต้านทานการโจมตี ส่วนหนึ่งเป็นเพราะไม่มีวิธีง่ายๆ ในการเรียกใช้แอปที่ไม่ได้ลงชื่อบนแพลตฟอร์ม

แต่นักวิจัยด้านความปลอดภัยจาก Check Point ที่ Def Con 2019 พบวิธีใช้ประโยชน์จากจุดบกพร่องในแอป Contacts ที่อาจให้แฮ็กเกอร์เรียกใช้โค้ดที่ไม่ได้ลงชื่อบน iPhone ของคุณได้

ช่องโหว่นี้เป็นข้อบกพร่องในรูปแบบฐานข้อมูล SQLite ซึ่งแอป Contacts ใช้ (แพลตฟอร์มส่วนใหญ่ ตั้งแต่ iOS และ macOS ไปจนถึง Windows 10 และ Google Chrome จะใช้รูปแบบนี้จริงๆ)

นักวิจัยพบว่าพวกเขาสามารถเรียกใช้โค้ดที่เป็นอันตรายบน iPhone ที่ได้รับผลกระทบ ซึ่งรวมถึงสคริปต์ที่ขโมยรหัสผ่านของผู้ใช้ พวกเขายังสามารถได้รับความคงอยู่ ซึ่งหมายความว่าพวกเขาสามารถเรียกใช้โค้ดต่อไปได้หลังจากรีบูต

โชคดีที่ช่องโหว่นี้อาศัยการติดตั้งฐานข้อมูลที่เป็นอันตรายบนอุปกรณ์ที่ปลดล็อค ตราบใดที่คุณไม่ปล่อยให้แฮ็กเกอร์เข้าถึง iPhone ที่ปลดล็อคของคุณทางกายภาพ คุณก็ไม่เป็นไร

สายเคเบิลที่เป็นอันตราย

ความปลอดภัยของ Apple - สายเคเบิล OMG
ดูเหมือนสาย Lightning ที่เบา จริง ๆ แล้วเป็นเครื่องมือทดสอบการเจาะที่พัฒนาขึ้นโดย MG นักวิจัยด้านความปลอดภัย ภาพโดย O.MG.

ขอแนะนำมานานแล้วว่าคุณไม่ควรเสียบไดรฟ์ USB แบบสุ่มเข้ากับคอมพิวเตอร์ของคุณ ต้องขอบคุณการพัฒนาเมื่อเร็วๆ นี้ คุณจึงไม่ควรเสียบสาย Lightning แบบสุ่มเข้ากับคอมพิวเตอร์ของคุณด้วย

นั่นเป็นเพราะสายเคเบิล O.MG ซึ่งเป็นเครื่องมือแฮ็คเฉพาะที่พัฒนาโดยนักวิจัยด้านความปลอดภัย MG และแสดงให้เห็นที่ Def Con ในปีนี้

สายเคเบิล O.MG มีลักษณะและทำงานเหมือนกับสาย Apple Lightning ทั่วไป สามารถชาร์จ iPhone ของคุณและเสียบอุปกรณ์เข้ากับ Mac หรือ PC ได้

แต่ภายในกล่องเคเบิลนั้นแท้จริงแล้วเป็นรากเทียมที่เป็นกรรมสิทธิ์ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์ของคุณได้จากระยะไกล เมื่อเสียบปลั๊กแล้ว แฮ็กเกอร์สามารถเปิดเทอร์มินัลและเรียกใช้คำสั่งที่เป็นอันตราย รวมถึงงานอื่นๆ

โชคดีที่ขณะนี้สายเคเบิลทำมือเพียงเส้นละ 200 ดอลลาร์ ที่ควรลดความเสี่ยง แต่ต่อจากนี้ไป คุณอาจต้องการหลีกเลี่ยงการเสียบสาย Lightning แบบสุ่มเข้ากับ Mac ของคุณ

ไมค์ - แอปเปิ้ล
ไมค์ ปีเตอร์สัน( นักเขียนอาวุโส )

ไมค์เป็นนักข่าวอิสระจากซานดิเอโก แคลิฟอร์เนีย

แม้ว่าเขาจะกล่าวถึง Apple และเทคโนโลยีเพื่อผู้บริโภคเป็นหลัก แต่เขามีประสบการณ์ในการเขียนเกี่ยวกับความปลอดภัยสาธารณะ รัฐบาลท้องถิ่น และการศึกษาด้านสิ่งพิมพ์ต่างๆ

เขาสวมหมวกสองสามใบในสาขาวารสารศาสตร์ รวมทั้งนักเขียน บรรณาธิการ และนักออกแบบข่าว