Apple iOS operētājsistēma, kas darbojas iPhone tālruņos, ir neaizsargāta pret vairākām jaunām drošības ievainojamībām. Jāatzīmē, ka trūkumiem nav nepieciešama lietotāja mijiedarbība. Tiek ziņots, ka drošības ievainojamības var izpildīt pilnībā bez tā, ka lietotājam jebkad būtu nepieciešams veikt kādas darbības, noklikšķināt uz jebkuras saites, lejupielādēt jebkuru lietotni utt. Starp citu, šī nav pirmā reize, kad tik nopietni trūkumi iOS iekšienē tiek atklāti .
Šodien tika atklātas divas jaunas nopietnas drošības ievainojamības Apple iOS operētājsistēmā. Acīmredzot šie iOS trūkumi potenciāli ļauj uzbrucējiem piekļūt iOS darbināmai iPhone ierīcei bez lietotāja darbības. Vēl svarīgāk ir tas, ka attālināti izpildīts uzbrukums var atļaut arī attālo koda izpildi (RCE), kas var ietvert cietušā iPhone administratīvo kontroli. Lai gan jaunatklātās drošības ievainojamības vēl nav oficiāli apstiprinātas, tās tiek izmantotas savvaļā. Acīmredzot Apple ir informēts par drošības trūkumiem, un ir sagaidāms, ka tas izlaidīs atjauninājumu, lai to pašu ielāpītu.
Apple iOS 6 virs iPhone ierīces ievainojama, lai nesen atklātu un aktīvi izmantotu drošības ievainojamību:
Nesen atklātās Apple iOS operētājsistēmas drošības ievainojamības ļauj uzbrucējam attālināti sist triecienu upura ierīcei. Turklāt trūkumi ļauj uzbrucējiem piekļūt iOS ierīcei bez lietotāja darbības. Lielākajai daļai uzbrukumu ir nepieciešamas lietotāja darbības, piemēram, noklikšķinot uz saites, instalējot kādu lietojumprogrammu vai atverot dokumentu uzbrukuma sākšanai. Tomēr šajā gadījumā uzbrucējs var vienkārši nosūtīt e-pastus, kas patērē ievērojamu daudzumu atmiņas, un iegūt ierīces attālās koda izpildes iespējas.
Dienas un nulles ievainojamība un uzbrukumi;
Drošības incidenti https://t.co/KAez4d9890
- Dr. Ezers Osei Yeboah-Boateng (@DrYeboahBoateng) 2020. gada 22. aprīlis
Nopietnā drošības ievainojamības iOS iekšpusē ar nulles lietotāja mijiedarbību atklāja apsardzes firma ZecOps. Uzņēmuma pētnieki apgalvo, ka uzbrucēji jau izmanto šīs ievainojamības savvaļā. Nenosakot mērķus, pētnieki apgalvoja, ka jaunatklātie drošības trūkumi ir veiksmīgi izmantoti, lai mērķētu uz šādām personām:
- Personas no Fortune 500 organizācijas Ziemeļamerikā
- Izpildītājs no pārvadātāja Japānā
- VIP no Vācijas
- MSSP no Saūda Arābijas un Izraēlas
- Žurnālists Eiropā
- Aizdomas: Šveices uzņēmuma izpilddirektors
iOS ir pilnībā slēgta koda operētājsistēma, kuru izstrādājusi un izstrādājusi Apple. To stingri kontrolē un regulē. OS nav tik atvērta kā Google Android. Jaunākā iOS atkārtojums ir iOS 13. Tomēr šīs drošības nepilnības ietekmē visas ierīces, kurās darbojas operētājsistēma iOS 6 un jaunākas versijas. Drošības pētnieki, kas izmeklē ievainojamības, uzsvēra, kā uzbrucēji var kompromitēt Apple iOS, kurā darbojas iPhone. Jaunākajās iOS versijās uzbrukumu var veikt šādi:
- Uzbrukums operētājsistēmai iOS 13: Neatbalstīti (/ nulle klikšķi) uzbrukumi iOS 13, kad fonā tiek atvērta Mail programma
- Uzbrukums operētājsistēmai iOS 12: uzbrukumam nepieciešams klikšķis uz e-pasta. Uzbrukums tiks aktivizēts pirms satura renderēšanas. Lietotājs pašā e-pastā nepamanīs neko anomālu
- Ja uzbrukums kontrolē pasta serveri, var tikt aktivizēti uzbrukumi iOS 12 (jeb nulle klikšķa)
Pētnieki iOS Mail lietotnē atklāj pāris drošības ievainojamības, Apple strādā pie plākstera https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- i Phone Doctor (@Mr_iPhoneDoctor) 2020. gada 22. aprīlis
Apple gaidāmajā atjauninājumā novērsīs drošības ievainojamību:
Pētnieki apgalvo, ka Apple zina par šiem iOS drošības trūkumiem. Viņi piebilda, ka ir sagaidāms, ka Apple izlaidīs pakāpenisku iOS atjauninājumu, kurā tiks iekļauts labojums, kas novērsīs ievainojamības. Tomēr, kamēr Apple neizlaiž atjauninājumu, ir veids, kā izvairīties no mērķauditorijas vai kļūt par drošības kļūdu upuri.
Divas nulles dienas ievainojamības, kas ietekmē iPhone un iPad ierīces, kiberdrošības palaišanas vietā ZecOps atrada pēc vairāku nepārtrauktu tālvadības uzbrukumu atklāšanas, kas ir mērķēti uz iO… izmantojot @BleepinComputer # drošība #tech #WednesdayWisdom https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 2020. gada 22. aprīlis
Pētnieki iesaka pilnībā izvairīties no Apple Mail App. Tā ir e-pasta nosūtīšanas platforma, kuru izstrādājusi, izstrādājusi un uztur Apple. Starp citu, pasta lietotne atbalsta trešo pušu e-pasta kontus, piemēram, Gmail, Outlook utt. Tādējādi, kamēr Apple neizlaiž atjauninājumu kļūdu novēršanai, lietotāji var būt atkarīgi no Microsoft Outlook lietotnes vai citiem līdzīgiem e-pasta klientiem.
[Atjaunināt] Kā ziņots, Apple ir izlaidis atjauninājumu, lai aizlāpītu divas Apple Mail App drošības ievainojamības.
Tagi āboluApple ielīmē divas drošības ievainojamības, kas ietekmē Mail App operētājsistēmā iOS 13.4.5 Beta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 2020. gada 22. aprīlis
