iPhone’y z iOS od 10.x do najnowszych wersji 12.x są podatne na ataki 0-day
Zależnie kogo słuchasz, to iOS jest albo absolutnie bezpieczny, niepodatny na żadne ataki, ale rozsądniejsi jednak podchodzą do tematu ostrożniej, zwracając uwagę na to, że jest to jeden z najbezpieczniejszych systemów operacyjnych, ale jednak do złamania. Jak się okazuje, Google Project Zero znalazł ataki w stronach internetowych, które infekowały iPhone’y spyware’em.
Istotne fakty, które znamy:
- dotyczy to każdego urządzenia z iOS 10.x do 12.x, w tym iPhone’y, iPady i iPody Touch;
- wystarczyło wejść na stronę internetową, aby złośliwe oprogramowanie włamało się do iOS-a (od 10.x do 12.x);
- Project Zero ocenia, że tysiące urządzeń odwiedzały te strony internetowe tygodniowo;
- ataki trwały przez ponad 2 lata;
- Project Zero nie opublikowało adresów stron internetowych, na których znaleźli 14 różnych słabych punktów iOS-a, przez które można było się do niego włamać;
- na urządzeniu instalowane było oprogramowanie, które wykradało dane o jego lokalizacji, bazę kontaktów, bazę wiadomości tekstowych (WhatsApp, Telegram, Messages, emaili, etc.), zdjęcia i inne;
- użytkownik nie miał pojęcia, że ktokolwiek przejął kontrolę nad danymi na jego urządzeniu;
- eksperci oceniają, że zhackowanie iOS-a jest zdecydowanie tańsze, niż myśleli;
- malware / spyware (i tym samym strony internetowe, które je dystrybuowały) prawdopodobnie miały na celu atak na chińskie społeczeństwo Uyghur w stanie Xinjiang;
- te same ataki były jednocześnie przeprowadzane na komputerach korzystających z Google Android i Microsoft Windows.
Po pierwsze, zachowanie Project Zero w kwestii raportowania luk w iOS-ie, Androidzie i innych OS-ach, jest skandalicznie nieodpowiedzialne. Pominęli wiele istotnych faktów oraz w ogóle nie wspomnieli o Windows ani Androidzie.
Po drugie, powyższe nie zmienia faktu, że iOS nie jest kuloodpornym systemem operacyjnym i tak, Apple łata go tak szybko, jak dowiaduje się o dziurach (chociaż nie zawsze), ale fakt, że ktoś Wam mówi, że nie da się do niego włamać, nie oznacza, że tak jest w rzeczywistości.
Po trzecie, jeśli nie uaktualniacie systemu operacyjnego do najnowszej wersji na bieżąco, to sami pogarszacie swoją sytuację, wystawiając się na zagrożenia zupełnie niepotrzebnie. Dotyczy to szczególnie osób, które trzymają u siebie starsze wersje iOS-a, bo nowsze im się nie podobają z jakiegoś powodu.
Po czwarte: o cholera!
Wojtek Pietrusiewicz
Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.
Komentarze: 22
Dlatego od kilku lat unikam jailbreak’a choć cały czas bardzo kusi swoimi możliwościami.
Ufff, czyli jednak dobrze robię, że trzymam mojego 6s wciąż na iOS 9.3.5
Nie, bo iOS 9 nie jest łatany od dawna, więc jest prawdopodobnie podatny na wielokrotnie więcej ataków.
“iOS 9.3.6 was released on July 22, 2019”
Ale nie dla 6s-a, bo ten widzi tylko najnowszy update, czyli 12.4.1. 😊
Co jest w zachowaniu Project Zero takiego skandalicznego? Bo naprawdę nie rozumiem.
“Zależnie kogo słuchasz, to iOS jest
albo
absolutnie bezpieczny, niepodatny na żadne ataki,”
albo co?
Chyba w ferworze redagowania zatraciła się gdzieś stylistyka i gramatyka.
“ale rozsądniejsi jednak podchodzą do tematu ostrożniej, zwracając uwagę na to, że jest to jeden z najbezpieczniejszych systemów operacyjnych, ale jednak do złamania.”
Ten fragment pasuje jako osobne zdanie, bez ‘ale’ na początku.
Kolejny rzetelny portal tech. O tym błędzie już trąbią od 3-4 dni a może i dłużej. I ta ekscytacja redaktora jakby znalazł złoty pociąg.
“Po pierwsze, zachowanie Project Zero w kwestii raportowania luk w iOS-ie, Androidzie i innych OS-ach, jest skandalicznie nieodpowiedzialne. Pominęli wiele istotnych faktów oraz w ogóle nie wspomnieli o Windows ani Androidzie.”
Nie wiem, co w tym skandalicznego. Wykryli podatność w iOS i przekazali informacje o tym fakcie do Apple. Forbes ponoć dotarł do jakiś “źródeł”, które mówią o podatności Androida i Windowsa. Nikt jednak nie jest w stanie podać, które dokładnie wersje tych systemów są podatne na atak. Nikt nie wspomina też o podatności na macOS, Linux (chiński rząd wydaje w końcu swój własny system, czyli Ubuntu Kylin) czy inne systemy operacyjne.
Jeżeli mam komuś wierzyć w sprawie bezpieczeństwo to raczej będzie to właśnie projekt Google Zero, niż Apple. Apple w ostatnich swoich aktualizacjach bezpieczeństwa nie chce nawet podać jakiego typu luki zostały załatane:
“Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.”
Jakiego typu luki ZOSTAŁY załatane, to Apple podaje. Nie podaje, i słusznie, tych, których jeszcze nie załatano.
Edit: na przykład: https://support.apple.com/pl-pl/HT210549
Google zapomniał dodać, ze android też jest podatny na takie ataki, a jak wiemy nigdy nie jest aktualizowany na 90% sprzętu, więc….
“Zależnie kogo słuchasz, to iOS jest
albo
absolutnie bezpieczny, niepodatny na żadne ataki,”
albo co?
Chyba w ferworze redagowania zatraciła się gdzieś stylistyka i gramatyka.
“ale rozsądniejsi jednak podchodzą do tematu ostrożniej, zwracając uwagę na to, że jest to jeden z najbezpieczniejszych systemów operacyjnych, ale jednak do złamania.”
Ten fragment pasuje jako osobne zdanie, bez ‘ale’ na początku.
Kolejny rzetelny portal tech. O tym błędzie już trąbią od 3-4 dni a może i dłużej. I ta ekscytacja redaktora jakby znalazł złoty pociąg.
Co jest w zachowaniu Project Zero takiego skandalicznego? Bo naprawdę nie rozumiem.
“Po pierwsze, zachowanie Project Zero w kwestii raportowania luk w iOS-ie, Androidzie i innych OS-ach, jest skandalicznie nieodpowiedzialne. Pominęli wiele istotnych faktów oraz w ogóle nie wspomnieli o Windows ani Androidzie.”
Nie wiem, co w tym skandalicznego. Wykryli podatność w iOS i przekazali informacje o tym fakcie do Apple. Forbes ponoć dotarł do jakiś “źródeł”, które mówią o podatności Androida i Windowsa. Nikt jednak nie jest w stanie podać, które dokładnie wersje tych systemów są podatne na atak. Nikt nie wspomina też o podatności na macOS, Linux (chiński rząd wydaje w końcu swój własny system, czyli Ubuntu Kylin) czy inne systemy operacyjne.
Jeżeli mam komuś wierzyć w sprawie bezpieczeństwo to raczej będzie to właśnie projekt Google Zero, niż Apple. Apple w ostatnich swoich aktualizacjach bezpieczeństwa nie chce nawet podać jakiego typu luki zostały załatane:
“Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.”
Jakiego typu luki ZOSTAŁY załatane, to Apple podaje. Nie podaje, i słusznie, tych, których jeszcze nie załatano.
Edit: na przykład: https://support.apple.com/pl-pl/HT210549
Dlatego od kilku lat unikam jailbreak’a choć cały czas bardzo kusi swoimi możliwościami.
Google zapomniał dodać, ze android też jest podatny na takie ataki, a jak wiemy nigdy nie jest aktualizowany na 90% sprzętu, więc….
Ufff, czyli jednak dobrze robię, że trzymam mojego 6s wciąż na iOS 9.3.5
Nie, bo iOS 9 nie jest łatany od dawna, więc jest prawdopodobnie podatny na wielokrotnie więcej ataków.
“iOS 9.3.6 was released on July 22, 2019”
Ale nie dla 6s-a, bo ten widzi tylko najnowszy update, czyli 12.4.1. 😊