Twoje gadżety Apple mogą zostać zhakowane — oto, jak je chronić

Twoje urządzenia Mac i iOS mogą nie być tak bezpieczne, jak myślisz.

Niedawno firma Trellix zajmująca się cyberbezpieczeństwem podzielili się swoim odkryciem nowych, istotnych błędów na iOS i MacOS. Apple ma podobno przeniesiony aby zmiażdżyć robaki. Jednak nowe badanie otworzyło możliwość, że złośliwi uczestnicy mogą ominąć funkcje bezpieczeństwa niektórych urządzeń Apple.

„Hakerzy działają szybciej niż kiedykolwiek, a osoby i organizacje muszą regularnie aktualizować swoje oprogramowanie, w przeciwnym razie ryzykują, że staną się ofiarami cyberataku” Andrzej Obadiaru, Dyrektor ds. Bezpieczeństwa Informacji w Cobalt.io, powiedział Lifewire w wywiadzie e-mailowym.

Błędy „R Us”.

Apple od dawna jest znane jako firma, która bierze bezpieczeństwo poważnie

. Mimo to do oprogramowania firmy czasami wkradają się potencjalnie niebezpieczne błędy. Zespół ds. luk w zabezpieczeniach Trellix Advanced Research Center stwierdził, że odkrył nową, dużą klasę błędów umożliwiają ominięcie środka bezpieczeństwa zwanego podpisywaniem kodu w celu wykonywania niezatwierdzonych działań zarówno w systemie macOS, jak i iOS.

„Te problemy mogą zostać wykorzystane przez złośliwe aplikacje i exploity do uzyskania dostępu do poufnych informacji, takich jak wiadomości użytkownika, dane o lokalizacji, historia połączeń i zdjęcia” Austina Emmitta, badacz bezpieczeństwa w Trellix, napisał na blogu firmy.

Chrisa Bluvshteina, ekspert ds. prywatności w firmie VPNOverview.com, powiedział w e-mailu do Lifewire, że Apple ma rygorystyczne ograniczenia dotyczące oprogramowania, które można uruchamiać na urządzeniach. Z drugiej strony Android umożliwia pobieranie aplikacji innych firm, dlatego złośliwe oprogramowanie dla Androida jest bardziej powszechne. Nowe luki są znane jako „zero kliknięcia”, co oznacza, że ​​nie trzeba na nie klikać, aby spowodować problemy.

Luki wynikają z faktu, że część środków bezpieczeństwa Apple polega na tym, że wszystkie aplikacje są podpisane certyfikatem programisty Apple. Aplikacje mają również ograniczone działanie – w rzeczywistości są trzymane w piaskownicy. Utrudnia hakerom wprowadzenie złośliwego kodu, który może wykorzystać oprogramowanie systemu operacyjnego lub uzyskać dostęp do innych nieautoryzowanych aplikacji lub usług na telefonie lub komputerze.

Nowo odkryte luki umożliwiają atakującym ominięcie procesu podpisywania kryptograficznego i uruchomienie szkodliwego kodu z wyodrębnionej piaskownicy bezpieczeństwa. „Niepokojące jest to, że są to exploity wymagające zerowego kliknięcia — ofiary nie muszą nawet klikać łącza, aby zostać dotknięte” – stwierdził Bluvshtein.

Bluvshtein powiedział, że problem pojawił się po raz pierwszy we wrześniu 2021 r. i został załatany przez firmę Apple, ale nadal odkrywane są powiązane luki w zabezpieczeniach wykorzystujące to samo podejście. Aktualne oprogramowanie macOS (macOS Ventura 13.2.1) nie zawiera poprawek dla tych dwóch luk. Apple jest świadomy potencjalnych exploitów, ale na razie zagrożone mogą być nawet urządzenia z najnowszym systemem macOS.

„Niestety, przed exploitami zero-click prawie nie da się obronić, nawet jeśli zastosujesz się do powyższych porad” – stwierdził Bluvshtein. „Dlatego są powszechnie używane przeciwko ważnym celom, a nawet przez rządowe służby wywiadowcze do monitorowania celów”.

Nie przejmuj się jednak zbytnio błędami. „Ujawnione luki w zabezpieczeniach, choć godne uwagi, pokazują, jak warstwowe zabezpieczenia są tak istotne dla utrzymania dobrego stanu bezpieczeństwa.” Michaela Covingtona, wiceprezes ds. strategii portfela w firmie technologicznej Jamf, która specjalizuje się w urządzeniach Apple, napisano w e-mailu do Lifewire. „A odpowiedź Apple pokazuje również, jak kluczowa jest reakcja dostawcy na cały proces”.

Chroniąc siebie

Chociaż oczekuje się, że Apple wkrótce załata nowo odkryte luki, eksperci twierdzą, że użytkownicy powinni podjąć środki ostrożności, aby zapewnić bezpieczeństwo swoich urządzeń.

Korzystaj wyłącznie z zaufanych aplikacji z App Store, powiedział Bluvshtein. „Chociaż nie można zainstalować niestandardowych aplikacji z innego miejsca, istnieją historyczne przykłady aplikacji, które zbierają więcej danych niż powinny lub wykonują złośliwe działania” – dodał.

Bluvshtein powiedział, że nie należy ufać nieznanym urządzeniom podczas podłączania telefonu.
„Twój iPhone zapyta Cię, czy ufać komputerowi podczas łączenia się przez USB” – dodał. „Jeszcze lepiej, w ogóle nie podłączaj telefonu, chyba że jest to Twój własny komputer”.

Stosuj się także do wszechobecnych rad, aby nie klikać w linki ani nawet nie otwierać wiadomości od nieznanych nadawców, jeśli nie wiesz, kto je wysłał i w jakim celu. „Po prostu je usuń” – powiedział Bluvshtein.

Pamiętaj, aby na bieżąco aktualizować swoje urządzenia Apple za pomocą najnowszego dostępnego oprogramowania systemu operacyjnego, zasugerował Bluvshtein. Włącz automatyczne pobieranie, aby mieć pewność, że nie przegapisz aktualizacji zabezpieczeń.

„W przypadku zwykłych użytkowników tego rodzaju ataki raczej nie będą powszechne, a badacze bezpieczeństwa nieustannie pracują nad ich znalezieniem, zanim zrobią to hakerzy” – powiedział Bluvshtein. „Monitoruj więc swoje urządzenia pod kątem poprawek zabezpieczeń i instaluj je, gdy tylko wylądują”.