Ось чому ваші пристрої Apple стануть набагато безпечнішими

Хоча пристрої Apple відомі своїми функціями безпеки та конфіденційності, вони не є невразливими до хакерських чи інших атак. На щастя, у майбутньому пристрої Apple стануть набагато безпечнішими.

Пов'язані:

• На WWDC було оголошено про покращення конфіденційності та безпеки iOS 13
• Ось нові функції безпеки та конфіденційності, які з’являться в macOS Mojave та iOS 12
• Поради щодо безпеки Mac та уникнення вірусів

Це пов’язано з нещодавніми змінами політики Apple, оголошеними на конференції з безпеки Black Hat в Лас-Вегасі цього місяця. Крім того, на Black Hat і Def Con 2019 є також деякі помітні подвиги.

Ось що ви повинні знати про останні новини безпеки Apple.

Зміни політики безпеки Apple

Іван Крстич, керівник відділу безпеки Apple, зробив кілька важливих заяв на цьогорічній конференції Black Hat.

Хоча оголошення були спрямовані на етичних хакерів і дослідників безпеки, вони представляють серйозні зміни в політиці безпеки Apple. Це цілком може призвести до значно більш безпечних пристроїв у майбутньому.

Програма Bug Bounty

Найбільшою новиною, пов’язаною з Apple, з конференції з безпеки Black Hat у серпні цього року було значне розширення програми Apple за помилки.

По суті, програма винагород за помилки — це спосіб для етичних хакерів і дослідників безпеки допомогти зміцнити існуючі платформи. Як тільки вони знаходять помилку або вразливість у iOS, наприклад, вони повідомляють про цю помилку в Apple — і отримують за це гроші.

Що стосується змін, Apple розширює програму винагороди за помилки на пристрої macOS. Це також збільшує максимальний розмір винагороди з 200 000 доларів за експлойт до 1 мільйона доларів за експлойт. Це, звичайно, залежить від того, наскільки він серйозний.

Apple вперше представила програму винагороди за помилки iOS ще в 2016 році. Але до серпня цього року не було такої програми для macOS (яка, за своєю суттю, є більш вразливою до атак, ніж мобільна операційна система Apple).

Це, як відомо, викликало проблеми, коли німецький хакер спочатку відмовився повідомити Apple подробиці конкретного недоліку. Причиною хакер назвав відсутність виплат, хоча врешті-решт він повідомив Apple деталі.

Попередньо зламані iPhone

Apple також надасть спеціалізовані iPhone перевіреним хакерам і дослідникам безпеки, щоб вони могли спробувати зламати iOS.

Айфони описані як пристрої «розробників», які були попередньо зламані, яким не вистачає багатьох заходів безпеки, закріплених у споживчій версії iOS.

Ці спеціалізовані повинні надати тестувальникам на проникнення набагато більше доступу до базових програмних систем. Таким чином, їм буде набагато легше знайти вразливі місця в програмному забезпеченні.

iPhone будуть надані в рамках програми Apple Security Research Device Program, яку компанія планує запустити наступного року.

Варто зазначити, що існує чорний ринок для вищезгаданих «розробників» iPhone.

Згідно зі звітом материнської плати з початку цього року, ці попередні випуски iPhone іноді контрабандним шляхом вивозять з виробничої лінії Apple. Звідти вони часто отримують високу ціну, перш ніж врешті досягають злодіїв, хакерів і дослідників безпеки.

Помітні вразливості

Хоча зміни політики безпеки та хакерські iPhone є найбільшими новинами з Black Hat і Def Con, Дослідники безпеки та хакери з білого капелюха також виявили ряд помітних проблем, пов’язаних з Apple вразливості.

Це важливо враховувати, якщо ви використовуєте пристрій Apple і хочете зберегти конфіденційність і безпеку своїх даних.

Обхід Face ID

Apple каже, що Face ID значно безпечніший, ніж Touch ID. А на практиці це насправді набагато важче обійти. Але це не означає, що експлойтів не існує.

Дослідники з Tencent виявили, що їм вдалося обдурити систему виявлення «живості» Face ID. По суті, це міра, призначена для розрізнення справжніх чи підроблених рис на людських істотах — і вона не дозволяє людям розблокувати ваш пристрій вашим обличчям, коли ви спите.

Дослідники розробили власний метод, який може обдурити систему, просто використовуючи окуляри та стрічку. По суті, ці «підроблені» окуляри можуть імітувати вигляд ока на обличчі людини без свідомості.

Проте експлойт працює лише на несвідомих людей. Але це хвилює. Дослідники змогли надіти підроблені окуляри на сплячу людину.

Звідти вони можуть розблокувати пристрій людини та надсилати гроші собі через платформу мобільних платежів.

Додаток Контакти

Операційна система iOS від Apple, як платформа, обнесена стінами, досить стійка до атак. Частково це пов’язано з тим, що немає простого способу запуску непідписаних програм на платформі.

Але дослідники безпеки з Check Point на Def Con 2019 знайшли спосіб скористатися перевагами помилки в програмі Contacts, яка може дозволити хакерам запускати непідписаний код на вашому iPhone.

Уразливість насправді є помилкою у форматі бази даних SQLite, який використовує програма Contacts. (Більшість платформ, від iOS і macOS до Windows 10 і Google Chrome, насправді використовують цей формат.)

Дослідники виявили, що вони змогли запустити шкідливий код на ураженому iPhone, включаючи сценарій, який викрав паролі користувача. Вони також змогли отримати стійкість, тобто вони могли продовжувати виконувати код після перезавантаження.

На щастя, вразливість пов’язана з встановленням шкідливої ​​бази даних на розблокованому пристрої. Тож доки ви не дозволяєте хакеру мати фізичний доступ до вашого розблокованого iPhone, у вас все в порядку.

Шкідливі кабелі

Давно рекомендували не підключати до комп’ютера випадкові USB-накопичувачі. Завдяки нещодавній розробці вам, ймовірно, не слід підключати випадкові кабелі Lightning до комп’ютера.

Це через кабель O.MG, спеціалізований інструмент злому, розроблений дослідником безпеки MG і продемонстрований на Def Con цього року.

Кабель O.MG виглядає і функціонує так само, як звичайний кабель Apple Lightning. Він може заряджати ваш iPhone і підключати пристрій до Mac або ПК.

Але всередині корпусу кабелю насправді є запатентований імплант, який може надати зловмиснику віддалений доступ до вашого комп’ютера. Коли він підключений, хакер може відкрити термінал і запускати шкідливі команди, серед інших завдань.

На щастя, зараз кабелі виготовляються лише вручну і коштують 200 доларів кожен. Це має зменшити ризик. Але в подальшому вам, ймовірно, захочеться уникати підключення випадкових кабелів Lightning до свого Mac.