Nowa luka Zero-Day powoduje, że Twój iPhone jest podatny na ataki
- Użytkownicy iPhone'a powinni zaktualizować swoje urządzenia, aby chronić je przed nowo wykrytymi lukami.
- Exploity dnia zerowego mogły pochodzić od rosyjskich agencji szpiegowskich.
- Należy skonfigurować oprogramowanie i oprogramowanie sprzętowe tak, aby aktualizacje instalowały się automatycznie.
sasha85ru / Getty Images
Jeśli jeszcze tego nie zrobiłeś, musisz szybko zaktualizować iPhone'a.
Jabłko wydało poprawki w poszukiwaniu luk w zabezpieczeniach iOS, które hakerzy mogą wykorzystać do zainstalowania oprogramowania szpiegującego na Twoim telefonie. Nowo wykryte problemy należą do najbardziej uciążliwych dla komputerów.
„Te luki nazywane są dniami zerowymi, ponieważ masz zero dni na ich naprawienie” Ryana Montgomery’ego, współzałożyciel Pentestera, powiedział Lifewire w wywiadzie e-mailowym. „Są to błędy nieznane dostawcy. Zespół Apple ds. bezpieczeństwa jest na najwyższym poziomie, ale jak widać, niektóre organizacje i państwa narodowe nie biorą urlopu”.
Naprawianie usterek typu zero-day
Jeśli masz iPhone'a 8 lub nowszego, możesz to zrobić pobierz aktualizację systemu operacyjnego 16.5.1, który łata lukę w zabezpieczeniach, która umożliwia nieautoryzowanym użytkownikom dostęp do danych przechowywanych na Twoim iPhonie. Lukę po raz pierwszy wykryto w Rosji, gdzie urzędnicy rosyjskiego rządu zainfekowali swoje iPhone'y oprogramowaniem szpiegującym.
„Błąd na poziomie jądra (CVE-2023-32434) umożliwia osobie atakującej wykonanie dowolnego kodu z uprawnieniami jądra” Josha Amishava-Zlatina, dyrektor generalny firmy zajmującej się cyberbezpieczeństwem Zmysł naruszenia stwierdzono w e-mailu do Lifewire.” Podobnie błąd WebKit (CVE-2023-32439) umożliwia wykonanie dowolnego kodu podczas przetwarzania złośliwej zawartości internetowej. Innymi słowy, szkodliwi użytkownicy mogą wykorzystać te luki, aby uruchomić dowolny wybrany przez siebie kod na urządzeniu docelowym.
Źli aktorzy mogą wykorzystać te słabości, aby uzyskać pełny zdalny dostęp do Twojego urządzenia i zawartych na nim poufnych informacji, Boyda Clewisa, Wiceprezes i Dyrektor ds. Bezpieczeństwa Informacji w firmie Konsulting Baxtera Clewisa, napisano w e-mailu do Lifewire.
„Niestety tego typu exploity nie są rzadkością w branży technologicznej, ponieważ nawet oprogramowanie stworzone przez ludzi może być podatne na wady i luki w zabezpieczeniach” – dodał. „Chociaż firmy pilnie pracują nad wydawaniem poprawek zabezpieczeń, exploity dnia zerowego są nadal często wykrywane i często nie są ujawniane publicznie”.
Te nowo załatane luki w zabezpieczeniach Apple iOS są szczególnie niebezpieczne, ponieważ nie wymagają kliknięcia złośliwe oprogramowanie nie wymaga żadnego działania ze strony użytkownika popełnić błąd związany z bezpieczeństwem, Awirusowa Verma, kierownik zespołu operacyjnego o godz Sekuryna, napisano w e-mailu. Oprogramowanie szpiegowskie może po prostu wszczepić się na iPhone'a za pośrednictwem wiadomości iMessage z wbudowanym exploitem wykorzystującym lukę w jądrze umożliwiającą wykonanie dowolnego kodu.
Chociaż firmy pilnie pracują nad wydawaniem poprawek zabezpieczeń, exploity dnia zerowego są nadal często wykrywane i często nie są ujawniane publicznie.
„Technologia staje się tak nieodłączną częścią codziennego życia każdego człowieka, że jest coraz bardziej atakowana, co oznacza, że dni zerowe stają się coraz powszechniejsze” – stwierdziła Verma.
Od 2019 r. i wcześniejszych, exploity dnia zerowego każdego roku liczba ta utrzymywała się poniżej 33– zauważyła Verma. W 2020 r. wykorzystano zaledwie 30 dni zerowych. Liczba ta wzrosła wykładniczo w 2021 r., osiągając aż 80 exploitów dnia zerowego. W 2022 r. było ich 55, a w 2023 r. liczba ta nadal rośnie.
„Sam Apple nie był ofiarą po raz pierwszy, ponieważ exploity dnia zerowego FORCEDENTRY zostały wcześniej wykorzystane do wdrożenia niesławnego oprogramowania szpiegującego Pegasus” – dodał. „W rzeczywistości jest to dziewiąty dzień zerowy poprawiony przez Apple w 2023 roku. W tym roku exploity dnia zerowego GoAnywhere i MOVEit zostały wykorzystane przez gangi ransomware, takie jak Cl0p, do powodują powszechne spustoszenie w branżach infrastruktury krytycznej, w tym w służbie zdrowia, IT i finansach usługi.”
Jak chronić się przed złośliwym oprogramowaniem
Jakkolwiek niebezpieczne mogą być luki w zabezpieczeniach, eksperci twierdzą, że istnieją sposoby na zabezpieczenie danych. Na początek upewnij się, że Twoje urządzenie jest zawsze aktualne i zawierają najnowsze poprawki oprogramowania, aby zmniejszyć ryzyko naruszenia bezpieczeństwa wrażliwych danych, powiedział Clewis. „Dodatkowo, jeśli to możliwe, korzystaj z uwierzytelniania wieloskładnikowego w aplikacjach przechowujących poufne informacje, takie jak dane bankowe czy historia medyczna” – dodał.
Zdjęcia Tero Vesalainena / Getty'ego
Zaleca się zainstalowanie i utrzymanie niezawodnego oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem oraz zapłacenie za nie Roberta Siciliano, dyrektor generalny ProtectNowLLC.co, w e-mailu. Powiedział, że rozwiązania antywirusowe mogą wykrywać i blokować znane zagrożenia, zapewniając dodatkową warstwę ochrony przed potencjalnymi exploitami dnia zerowego.
„Być może nie odnoszą się konkretnie do dnia zerowego, ale generalnie nadrabiają zaległości w krótkim czasie” – dodał.
Siciliano powiedział również, że powinieneś skonfigurować swoje oprogramowanie i oprogramowanie układowe Instaluj aktualizacje automatycznie. W ten sposób możesz mieć pewność, że niezwłocznie otrzymasz poprawki i aktualizacje zabezpieczeń, gdy tylko staną się dostępne.
Bądź ostrożny i korzystaj różne wtyczki skanujące wirusy podczas odwiedzania nieznanych stron internetowych lub pobierania plików z niezaufanych źródeł. Złośliwe strony internetowe lub pliki do pobrania mogą czasami wykorzystywać luki typu zero-day.
„Zachowaj czujność i podejmij niezbędne środki ostrożności, aby chronić swoje cyfrowe życie” – powiedział Clewis.