Apple

  • Ако не сте ъпдейтнали вашия iPhone до версия 14.8 – направете го

    Apple пусна актуализации за сигурност за macOS, iOS, iPadOS, watchOS и Safari, които закърпват две уязвимости (CVE-2021-30860 и CVE-2021-30858).

    Става дума за zero-click бъг, при който устройството ви може да бъде заразено, без каквото и да е действие от ваша страна.

    По подобен начин, в края на 2020 г., бяха хакнати iPhone на 36 журналисти и управленски персонал в Al Jazeera.

  • iOS 15 – краят на поверителността се отлага… за малко

    Apple обяви в разгара на лятото (август 2021 г.), че планира да въведе нова и уникална система за наблюдение, базирана на криптография. Това би засегнало над 1 млрд. продадени iPhone. Очакваше се програмата да стартира с пускането на iOS 15 (вероятно в средата на септември⁠) и първоначално да обхване потребителите в САЩ.

    Нововъведението беше представено като технология, която обогатява живота ви, като същевременно ви помага да останете в безопасност. Програмата акцентира върху защита от недоброжелатели онлайн и ограничаване разпространението на материали за сексуална злоупотреба с деца (CSAM).

    Възникнаха притеснения обаче, че каквито и да са ползите от новата система на Apple, тя със сигурност ще предефинира кое принадлежи на вас и кое – на компанията.

    Кой е новият момент

    Задачата на новата система за наблюдение на Apple е да предотврати използването на облачните платформи на компанията за съхраняване на „дигитална контрабанда“.

    Към момента, откриването на незаконни изображения, качени в облака, може да се осъществи чрез традиционно търсене сред данните, които вече сте предоставили за съхранение. Няма да се спираме на проблема, че става думи за „ровене“ сред личните файлове на милиарди хора – все пак засега облакът вижда само файловете, които сами сте качили в него.

    Новият дизайн предвижда вашият телефон да извършва проверка от името на Apple, преди снимките ви дори да са достигнали до iCloud сървърите. Ако бъде открито „забранено съдържание“, органите на реда ще бъдат уведомени.

    С други думи, ще се изтрие границата, която определя кои устройства работят за вас и кои – за Apple.

    Създава се прецедент: Компания, която особено много държи на поверителността произвежда продукти, които „изневеряват“ на своите потребители и собственици. Възниква въпросът дали Apple ще може да контролира начина на прилагане на този прецедент. Ако тя може да реши дали произведените от нея телефони ще следят за нарушенията на собствениците им, то кой ще определя кое представлява нарушение … и как да се справи с него?

    Пораждат се притеснения, че нововъведението може да бъде използвано за политически и користни цели.

    Очакваме да видим дали ще бъде прекрачена тънката граница между наблюдение с цел предотвратяване на престъпления и цензура.

    Доза оптимизъм?

    Въз основа на обратна връзка от клиенти, застъпнически групи, изследователи и т.н., Apple реши да отдели допълнително време през следващите месеци, за да “събере информация и да направи подобрения”. Текущите намерения на компанията са да пусне „критично важните функции за безопасност на децата“ под формата на ъпдейти на iOS 15 по-късно през 2021 г.

    Все пак, съществува вероятност Apple да прави текущите промени като прелюдия за преминаване към криптиране „от край до край“ на всичко, което съхранявате в iCloud.

    Това би било много хубаво, но след пускането на новата система за наблюдение вече няма да има значение дали Apple някога ще активира end-to-end криптиране, защото вашият iPhone ще докладва съдържанието си, преди криптиращите ключове да бъдат използвани.

  • 8,4 млрд. пароли са изтекли онлайн – сигурността ви е изложена на риск

    8,4 млрд. уникални записа на пароли са публикувани в популярен хакерски форум. Изтеклите идентификационни данни могат да включват лична информация за вход за Gmail, Facebook, Apple, Paypal и др.

    Текстовият файл с размер 100 GB е наречен „RockYou2021“, което е препратка към пробив в приложението RockYou през 2009 г., разкрил 32 млн. потребителски пароли по подобен начин.

    Проверете дали паролата ви е изтекла

    Платформата HaveIBeenPwned e надежден инструмент, с който да проверите дали ваш акаунт е бил компрометиран. Ако установите, че ваш имейл адрес е бил хакнат (pwned), незабавно сменете както паролата за този акаунт, така и за всички други акаунти, за достъп до които използвате същата парола.

    Препоръки:

    • Наличието на мениджър на пароли може да помогне за укрепване на вашата сигурност: инструментът е специално проектиран да съхранява всички идентификационни данни за вход в криптиран сейф и да генерира сложни пароли
    • Използвайте двуфакторно удостоверяване (2FA), за предпочитане приложение за удостоверяване или хардуерно решение – те са по-безопасни от автоматичните текстови съобщения, които могат лесно да бъдат прихванати
  • Apple пусна пачове срещу Zero-day заплахи, атакуващи macOS, tvOS

    Apple пусна актуализации на сигурността за iOS, macOS, tvOS, watchOS и Safari, за да отстрани множество уязвимости, включително активно експлоатиран Zero-day в macOS Big Sur.

    Последният се отнася до проблем с разрешенията в рамката на Apple за прозрачност, съгласие и контрол (TCC) – нападател може да получи пълен достъп до диска или да направи запис на екрана ви, без да има нужда от изричното ви съгласие.

    Актуализирайте възможно най-скоро вашите Apple устройства, за да намалите риска, свързан с уязвимостите.

  • Нов вариант на малуера XCSSET засяга M1 процесора на Apple

    През лятото на 2020 г. беше открит зловреден софтуер за Mac (XCSSET), който се разпространява чрез на Xcode. Той използва две 0-day уязвимости, за да открадне чувствителна информация от засегнатите системи и да стартира рансъмуер атаки.

    Към момента вече е наличен и нов вариант на XCSSET, компилиран за устройства с чипове M1 на Apple.

    Малуерът краде данни от популярни приложения (Evernote, Skype, Notes, QQ, WeChat, Telegram), заснема екранни снимки, дефилтрира откраднати документи на сървъра на нападателите, криптира файлове, показва бележка за откуп и др.

    Изглежда, че хакерите активно прекомпилират зловреден софтуер, така че да работи за М1 чиповете на Apple за Mac. Прочетете още по темата ТУК

  • Хакери пуснаха jailbreak за най-новите iPhone

    Хакерската групировка Unc0ver пусна поредния си джейлбрейк (jailbreak), за който твърди, че работи на всички iOS на Apple – от iOS 11 (iPhone 5s и по-нови версии) до iOS 14.3.

    В туит се казва, че е използван експлойт за CVE-2021-1782 (zero-day уязвимост на ядрото), която Apple вече премахна.

    Хакерите „рекламират“ jailbreak като възможност да направите устройството си по-независимо от софтуерната екосистема на производителя му и да получите повече свобода като потребители.

    Експертите по сигурността обаче съветват да не прилагате jailbreak инструменти на вашия iPhone, защото това ще го направи по-уязвим на атаки.

  • Хакерите вече атакуват M1 процесора на Apple за Mac

    Mac устройства с Apple процесор M1 съществуват едва от няколко месеца, но вече са мишена на хакерите.

    Изследователи на сигурността са открили рекламен софтуер (adware), специално проектиран за мощния чип M1.

    Злонамереното приложение (Safari adware), наречено GoSearch22, първоначално е проектирано за процесори Intel x86.

    Изглежда, че става дума за вирус, който е разновидност на рекламния софтуер за Mac – Pirrit. Хакерите обаче са го „подобрили“, за да гарантират, че ще е  съвместим с най-новия хардуер на Apple.

    Изследователите са установили, че антивирусните скенери отчитат x86 версията на адуера като злонамерена, но 15% от тях не подозират, че вариантът на GoSearch22 за M1 е злонамерен софтуер.

  • Потребителите на iPhone и iPad са уязвими

    Три уязвимости, засягащи iPhone и iPad, най-вероятно са използвани като свързани за осъществяване на успешен пробив през Safari и постигане на пълен контрол върху устройството.

    Два от бъговете са открити в WebKit, двигателят на браузъра Safari, а третият – в Kernel, ядрото на операционната система.

    Рядко Apple, която се гордее с имиджа си по отношение на сигурността, обявява, че клиентите й могат да бъдат подложени на активна атака от страна хакери.

    Компанията пусна iOS 14.4 с корекции на сигурността, които запушват трите уязвимости.

    Потребителите на iPhone и iPad трябва да се актуализират до iOS 14.4 възможно най-скоро.

  • Снимки, кореспонденция и видео от вашия iPhone са достъпни от разстояние ако…

    Бъг в кода на iOS дава възможност за рестартиране на вашия iPhone и поемане на контрола върху него от разстояние – разкритието е на Project Zero на Google.

    Експлойтът позволява на хакерите да четат имейли, съобщения, да изтеглят снимки и дори да имат достъп до микрофона и камерата ви.

    Основата на проблема е в протокола, наречен Apple Wireless Direct Link (AWDL), който iPhone, iPad, Mac и Apple Watches използват, за да създадат мрежа за услуги като AirDrop и Sidecar.

    Уязвимостта е била отстранена от Apple през май 2020 г., но все още неактуализираните iPhone и iOS устройства, включително iPhone 11 остават в риск.

    Препоръка:

    Ако не използвате най-актуалната версия на iOS на вашето устройство, незабавно актуализирайте

  • noyb: Apple следи потребителите на iPhone без тяхното съгласие

    Apple нарушава законодателството на ЕС, като позволява потребителите на iPhone да бъдат проследявани без тяхното съгласие. Това твърди noyb, организация с идеална цел, основана от активиста за защита на личните данни Max Schrems, в жалба до германските и испанските регулатори.

    Уникалният код за проследяване, генериран от всеки iPhone – IDFA (идентификатор за рекламодатели) – позволява на Apple и всички разработчици на приложения за iPhone да видят как се държат потребителите, без тяхното знание или съгласие.

    Още повече, IDFA дава възможност на трети страни да идентифицират потребителите в различни приложения и дори да свързват онлайн и мобилно поведение (cross device tracking).

    През юни 2020 г. Apple заяви, че с въвеждането на най-новата си операционна система iOS 14, приложенията ще трябва да поискат разрешение, преди да получат достъп до IDFA на телефона. През септември обаче стана ясно, че промените ще се забавят до началото на 2021 г.

Back to top button