iMagazine

iPhone’y z iOS od 10.x do najnowszych wersji 12.x są podatne na ataki 0-day

03/09/2019, 10:50 · · · 11

Zależnie kogo słuchasz, to iOS jest albo absolutnie bezpieczny, niepodatny na żadne ataki, ale rozsądniejsi jednak podchodzą do tematu ostrożniej, zwracając uwagę na to, że jest to jeden z najbezpieczniejszych systemów operacyjnych, ale jednak do złamania. Jak się okazuje, Google Project Zero znalazł ataki w stronach internetowych, które infekowały iPhone’y spyware’em.

Istotne fakty, które znamy:

  • dotyczy to każdego urządzenia z iOS 10.x do 12.x, w tym iPhone’y, iPady i iPody Touch;
  • wystarczyło wejść na stronę internetową, aby złośliwe oprogramowanie włamało się do iOS-a (od 10.x do 12.x);
  • Project Zero ocenia, że tysiące urządzeń odwiedzały te strony internetowe tygodniowo;
  • ataki trwały przez ponad 2 lata;
  • Project Zero nie opublikowało adresów stron internetowych, na których znaleźli 14 różnych słabych punktów iOS-a, przez które można było się do niego włamać;
  • na urządzeniu instalowane było oprogramowanie, które wykradało dane o jego lokalizacji, bazę kontaktów, bazę wiadomości tekstowych (WhatsApp, Telegram, Messages, emaili, etc.), zdjęcia i inne;
  • użytkownik nie miał pojęcia, że ktokolwiek przejął kontrolę nad danymi na jego urządzeniu;
  • eksperci oceniają, że zhackowanie iOS-a jest zdecydowanie tańsze, niż myśleli;
  • malware / spyware (i tym samym strony internetowe, które je dystrybuowały) prawdopodobnie miały na celu atak na chińskie społeczeństwo Uyghur w stanie Xinjiang;
  • te same ataki były jednocześnie przeprowadzane na komputerach korzystających z Google Android i Microsoft Windows.

Po pierwsze, zachowanie Project Zero w kwestii raportowania luk w iOS-ie, Androidzie i innych OS-ach, jest skandalicznie nieodpowiedzialne. Pominęli wiele istotnych faktów oraz w ogóle nie wspomnieli o Windows ani Androidzie.

Po drugie, powyższe nie zmienia faktu, że iOS nie jest kuloodpornym systemem operacyjnym i tak, Apple łata go tak szybko, jak dowiaduje się o dziurach (chociaż nie zawsze), ale fakt, że ktoś Wam mówi, że nie da się do niego włamać, nie oznacza, że tak jest w rzeczywistości.

Po trzecie, jeśli nie uaktualniacie systemu operacyjnego do najnowszej wersji na bieżąco, to sami pogarszacie swoją sytuację, wystawiając się na zagrożenia zupełnie niepotrzebnie. Dotyczy to szczególnie osób, które trzymają u siebie starsze wersje iOS-a, bo nowsze im się nie podobają z jakiegoś powodu.

Po czwarte: o cholera!

11

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki i zwinne samochody. Niedawno rozpocząłem prowadzenie kursów Lightrooma i fotografii na Pikselowe.pl – zapraszam.


11
Dodaj komentarz

avatar
6 Comment threads
5 Thread replies
11 Followers
 
Most reacted comment
Hottest comment thread
10 Comment authors
jojoMattŁucjanMatiRoman Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Marcin
Gość
Marcin

Dlatego od kilku lat unikam jailbreak’a choć cały czas bardzo kusi swoimi możliwościami.

Mattheush
Użytkownik
Mattheush

Ufff, czyli jednak dobrze robię, że trzymam mojego 6s wciąż na iOS 9.3.5

Jendrek
Gość
Jendrek

Co jest w zachowaniu Project Zero takiego skandalicznego? Bo naprawdę nie rozumiem.

Roman
Gość
Roman

„Zależnie kogo słuchasz, to iOS jest
albo
absolutnie bezpieczny, niepodatny na żadne ataki,”
albo co?
Chyba w ferworze redagowania zatraciła się gdzieś stylistyka i gramatyka.

„ale rozsądniejsi jednak podchodzą do tematu ostrożniej, zwracając uwagę na to, że jest to jeden z najbezpieczniejszych systemów operacyjnych, ale jednak do złamania.”
Ten fragment pasuje jako osobne zdanie, bez ‚ale’ na początku.

Mati
Gość
Mati

Kolejny rzetelny portal tech. O tym błędzie już trąbią od 3-4 dni a może i dłużej. I ta ekscytacja redaktora jakby znalazł złoty pociąg.

Łucjan
Gość
Łucjan

„Po pierwsze, zachowanie Project Zero w kwestii raportowania luk w iOS-ie, Androidzie i innych OS-ach, jest skandalicznie nieodpowiedzialne. Pominęli wiele istotnych faktów oraz w ogóle nie wspomnieli o Windows ani Androidzie.”

Nie wiem, co w tym skandalicznego. Wykryli podatność w iOS i przekazali informacje o tym fakcie do Apple. Forbes ponoć dotarł do jakiś „źródeł”, które mówią o podatności Androida i Windowsa. Nikt jednak nie jest w stanie podać, które dokładnie wersje tych systemów są podatne na atak. Nikt nie wspomina też o podatności na macOS, Linux (chiński rząd wydaje w końcu swój własny system, czyli Ubuntu Kylin) czy inne systemy operacyjne.

Jeżeli mam komuś wierzyć w sprawie bezpieczeństwo to raczej będzie to właśnie projekt Google Zero, niż Apple. Apple w ostatnich swoich aktualizacjach bezpieczeństwa nie chce nawet podać jakiego typu luki zostały załatane:

„Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.”

Matt
Gość
Matt

Jakiego typu luki ZOSTAŁY załatane, to Apple podaje. Nie podaje, i słusznie, tych, których jeszcze nie załatano.

Edit: na przykład: https://support.apple.com/pl-pl/HT210549

jojo
Gość
jojo

Google zapomniał dodać, ze android też jest podatny na takie ataki, a jak wiemy nigdy nie jest aktualizowany na 90% sprzętu, więc….