Teie Apple'i vidinad võivad olla häkitavad – siin on, kuidas neid kaitsta

October 26, 2023
SisseUudised Interneti Turvalisus

Uued augud Apple'i turvalisuses võivad viia selleni, et häkkerid võtavad teie Maci seadmete üle kontrolli.
Apple on mõned haavatavused juba parandanud.
Eksperdid ütlevad, et peaksite hoidma oma tarkvara ajakohasena ja ärge usaldage tundmatuid seadmeid.

Lähivõte kellegi kätest, kes kasutavad pimedas nutitelefoni. — d3sign / Getty Images

Teie Maci ja iOS-i seadmed ei pruugi olla nii turvalised, kui arvate.

Küberturvalisuse ettevõte Trellix hiljuti jagasid oma avastust uutest olulistest vigadest iOS-is ja MacOS-is. Apple'il on väidetavalt kolinud putukate tõrjumiseks. Kuid uus uuring on avanud võimaluse, et pahatahtlikud osalejad võivad mõne Apple'i seadme turvafunktsioonidest kõrvale hiilida.

"Häkkerid liiguvad kiiremini kui kunagi varem ning üksikisikud ja organisatsioonid peavad oma tarkvara regulaarselt värskendama või riskima sattuda küberrünnaku ohvriks." Andrew Obadiaru, infoturbe juht aadressil Cobalt.io, rääkis Lifewire'ile antud meiliintervjuus.

Bugs ‘R Us

Apple on juba ammu tuntud kui ettevõte, mis võtab turvalisust tõsiselt. Sellegipoolest tungivad ettevõtte tarkvarasse aeg-ajalt potentsiaalselt ohtlikud vead. Trellix Advanced Research Centeri haavatavuse meeskond teatas, et avastas suure uue klassi vead, mis lubada turvameetmest, mida tuntakse koodi allkirjastamisena, mööda minna, et teha heakskiitmata toiminguid nii macOS-is kui ka iOS.

Keegi kasutab sülearvutisse sisselogimiseks nutitelefoniga kahefaktorilist autentimist. — Oscar Wong / Getty Images

"Neid probleeme võivad kasutada pahatahtlikud rakendused ja ärakasutamine, et saada juurdepääs tundlikule teabele, nagu kasutaja sõnumid, asukohaandmed, kõneajalugu ja fotod." Austin Emmitt, Trellixi turvateadlane, kirjutas ettevõtte ajaveebis.

Chris Bluvshtein, privaatsusekspert aadressil VPNOverview.com, ütles Lifewire'ile saadetud meilis, et Apple'il on ranged piirangud selle kohta, millist tarkvara seadmetes saab töötada. Teisest küljest võimaldab Android kolmandate osapoolte rakendusi alla laadida, mistõttu on Androidi pahavara levinum. Uusi turvaauke nimetatakse nullklõpsuks, mis tähendab, et probleemide tekitamiseks ei pea te neile klõpsama.

Turvaaugud on seotud asjaoluga, et osa Apple'i turvameetmetest hõlmab kõigi rakenduste allkirjastamist Apple'i arendaja sertifikaadiga. Rakenduste tegevus on samuti piiratud – neid hoitakse tõhusalt liivakastis. Häkkeritel on raske sisestada pahatahtlikku koodi, mis võib ära kasutada operatsioonisüsteemi tarkvara või pääseda juurde muudele volitamata rakendustele või teenustele telefonis või arvutis.

Äsja paljastatud haavatavused võimaldavad ründajatel sellest krüptograafilisest allkirjastamisprotsessist mööda minna ja pahatahtlikku koodi selle kaitstud turvaliivakastist välja lasta. "Murelik on see, et need on nullklõpsu ärakasutamine – ohvrid ei pea isegi lingil klõpsama, et neid mõjutada," ütles Bluvshtein.

Bluvshtein ütles, et probleem ilmnes esmakordselt 2021. aasta septembris ja selle parandas Apple, kuid seotud haavatavusi, mis kasutavad sama lähenemisviisi, avastatakse endiselt. Praegune macOS-i tarkvara (macOS Ventura 13.2.1) ei sisalda nende kahe haavatavuse parandusi. Apple on potentsiaalsetest ärakasutamistest teadlik, kuid praegu võivad ohus olla isegi seadmed, mis kasutavad uusimat macOS-i.

"Kahjuks on nullkliki ärakasutamist peaaegu võimatu kaitsta, isegi kui järgite ülaltoodud nõuandeid," ütles Bluvshtein. "Seetõttu kasutatakse neid tavaliselt kõrgetasemeliste sihtmärkide vastu ja isegi valitsuse luureteenistused sihtmärkide jälgimiseks."

Kuid ärge muretsege liiga palju vigade pärast. "Avaldatud haavatavused, kuigi tähelepanuväärsed, näitavad, kuidas mitmekihiline kaitse on hea turvaasendi säilitamiseks nii kriitilise tähtsusega." Michael Covington, tehnoloogiafirma portfellistrateegia asepresident Jamf, mis on spetsialiseerunud Apple'i seadmetele, ütles Lifewire'ile saadetud meilis. "Ja Apple'i vastus näitab ka seda, kui kriitiline on müüja reageerimisvõime protsessile."

Enda kaitsmine

Kuigi Apple peaks äsja avastatud haavatavused peagi parandama, peaksid eksperdid väidavad, et kasutajad peaksid oma seadmete turvalisuse tagamiseks võtma ettevaatusabinõusid.

Kuigi avalikustatud haavatavused on tähelepanuväärsed, näitavad, kuidas mitmekihilised kaitsemehhanismid on hea turvaasendi säilitamiseks nii olulised.

Kasutage ainult App Store'i usaldusväärseid rakendusi, ütles Bluvshtein. "Kuigi te ei saa mujalt kohandatud rakendusi installida, on ajalooliselt olnud näiteid, et rakendused koguvad rohkem andmeid kui peaks või sooritavad pahatahtlikke toiminguid," lisas ta.

Bluvshtein ütles, et telefoni ühendamisel ei tasu usaldada tundmatuid seadmeid.
"Teie iPhone küsib USB kaudu ühendamisel, kas usaldada arvutit," lisas ta. "Veelgi parem, ärge ühendage telefoni üldse, kui see pole teie enda arvuti."

Järgige ka üldlevinud nõuannet mitte klikkida linkidele ega isegi avada tundmatute saatjate sõnumeid, kui te ei tea, kes ja mis eesmärgil need saatis. "Lihtsalt kustutage need," ütles Bluvshtein.

Hoidke oma Apple'i seadmed kindlasti kursis uusima saadaoleva operatsioonisüsteemi tarkvaraga, soovitas Bluvshtein. Lülitage automaatsed allalaadimised sisse, et turvavärskendused ilma ei jääks.

"Igapäevakasutajate jaoks pole seda tüüpi rünnakud tõenäoliselt tavalised ja turvateadlased töötavad pidevalt nende leidmiseks enne häkkereid," ütles Bluvshtein. "Seega jälgige oma seadmeid turvapaikade osas ja installige need kohe pärast maandumist."