Протягом багатьох років Apple iPhone вважався одним із найбільш безпечних доступних смартфонів. Але, незважаючи на цю репутацію, проблеми безпеки, які можуть торкнутися мільйони користувачів, виявилися минулого тижня, коли дослідники з Google виявили, що вони виявили веб-сайти, які можуть заражати iPhone, iPad і iPod небезпечним програмним забезпеченням.

Досить просто відвідати один із цих веб-сайтів, щоб заразити пристрій шкідливим програмним забезпеченням, що забезпечує високий рівень доступу до пристрою. Що викликає занепокоєння, схоже, ці вразливі місця «в дикій природі» (тобто активно використовуються кіберзлочинцями) близько двох років.

Оскільки на пристрої немає видимих ​​ознак зараження, швидше за все, користувачі абсолютно не знають про ризики, з якими стикаються.

Вразливості, що використовуються, присутні на пристроях, на яких запущені останні (але не найновіші) версії операційної системи iOS від Apple - зокрема, від iOS 10 до ранніх версій iOS 12. Кожен пристрій, що запускає вразливі версії iOS, є потенційною метою веб-сайти.

Пристрої заражаються кількома методами, використовуючи 14 різних недоліків безпеки - незвична кількість способів зламати пристрій. Гірше те, що сім недоліків стосується Safari, веб-браузера за замовчуванням для багатьох з цих пристроїв (а перегляд веб-сторінок є звичайною діяльністю для багатьох користувачів).

Це не всі погані новини. Після того, як Google повідомив про проблеми в Apple на початку цього року, вразливості були швидко виправлені в останньому випуску iOS (12.4.1).

Будь-який користувач, який оновлює свій пристрій до останньої версії iOS, повинен бути захищений від цієї атаки. Найпростіший спосіб зробити це - перейти на Налаштування> Загальне> Оновлення програмного забезпечення на телефоні, а потім слідувати підказкам.

Що відбувається, коли ви відвідуєте заражений сайт?

Як тільки ви відкриєте веб-сторінку, на пристрої встановлено зловмисне програмне забезпечення. Це програмне забезпечення має доступ до даних про місцезнаходження та інформації, що зберігається різними програмами (такими як iMessage, WhatsApp та Google Hangouts).

Ця інформація може бути передана у віддалене місце і зловмисник може зловживати нею. Витягнута інформація може включати повідомлення, які в іншому випадку захищаються під час надсилання та отримання користувачем, усуваючи захист, запропонований за допомогою шифрування. Хакери також можуть отримати доступ до приватних файлів, що зберігаються на пристрої, включаючи фотографії, електронні листи, списки контактів та конфіденційну інформацію, таку як паролі WiFi.

Усі ці дані мають цінність і можуть бути продаються в Інтернеті іншим кіберзлочинцям.

За даними антивірусної фірми Malwarebytes, шкідливе програмне забезпечення видаляється при перезапуску зараженого пристрою. Незважаючи на те, що це обмежує проміжок часу, коли пристрій скомпрометовано, користувач ризикує заразитися наступним разом, коли він відвідає той самий веб-сайт (якщо все ще використовує вразливу версію iOS).

Список веб-сайтів, що беруть участь, ще не опублікований, тому користувачі не мають ніяких засобів для захисту, окрім як оновлення операційної системи свого пристрою. Але ми знаємо, що кількість відвідувачів цих сайтів оцінюється в тисяч на тиждень.

Чи пристрої Apple більше не захищені?

Гучні атаки на ці пристрої можуть розвіяти міф про те, що пристрої Apple не піддаються серйозним порушенням безпеки. Однак у Apple дійсно існує програма, яка пропонує помилку Нагорода в розмірі 1 мільйон доларів США користувачам, які повідомляють про проблеми, які допомагають виявити недоліки безпеки.

Але, враховуючи вплив цього інциденту, очевидно, що хтось там докладає значних зусиль для націлювання на пристрої Apple. Хоча технічний гігант регулярно оновлює своє програмне забезпечення, останнім часом трапляються випадки, коли раніше виправлені недоліки безпеки були відновлені. Це підкреслює складність цих пристроїв та проблему підтримки безпечної платформи.

Найважливіший урок для мільйонів користувачів Apple - це гарантувати, що ви будете в курсі останніх виправлень та виправлень. Для усунення загроз, спричинених цією вразливістю, достатньо просто встановити останнє оновлення iOS.

Якщо ви стурбовані, можливо, ваші дані були вкрадені, зміна паролів та перевірка виписки з кредитної картки та банківського рахунку також є важливими кроками.

Про авторів

Леслі Сікос, Викладач, Університет Едіт Кован та Пол Хаскелл-Дауленд, Заступник декана (обчислювальної техніки та безпеки), Університет Едіт Кован

Ця стаття перевидана з Бесіда за ліцензією Creative Commons. Читати оригінал статті.