создайте профиль
Хакеры нашли новый способ взлома iPhone
Apple выпустила срочное обновление iOS
Одна единственная песня может хакнуть iPhone, если не обновить iOS до версии 10.3.1.
В следующий раз, когда кто-нибудь отправит медиа-файл на «необновлённый» iPhone, возможно, стоит подумать, заслуживает ли отправитель доверия.
Как сообщается, Apple устранила уязвимость в операционной системе своих мобильных гаджетов, выпустив срочное обновление iOS 10.3.1.
Уязвимость прежней версии ОС заключается в том, что она позволяет вредоносному коду активироваться, как только на телефоне запускается звуковой файл, в который «зашит» эксплойт.
Недостаток в системе выявил анонимный хакер, работающий в рамках инициативы Zero Day Initiative (ZDI).
Суть проблемы - изъян, который называется «нарушение безопасности памяти». Это связано с процессом обработки метаданных во время воспроизведения музыки.
Повреждение памяти происходит в компьютерной программе, когда содержимое ячейки памяти непреднамеренно изменяется из-за ошибок программирования.
После выявления ошибки, пробел в безопасности устранили, так что теперь злоумышленники не смогут спрятать эксплоит в MP3 и MP4-файлах.
По понятным причинам, до недавнего времени программистам ZDI было запрещено говорить о выявленных уязвимостях.
Как им это удалось? Добрый анонимный хакер использовал файл формата MP4s, чтобы обойти защиту iPhone.
Хакеры пользуются тем, что в прежней версии iOS отсутствует надлежащая проверка пользовательских данных.
Аудиоуязвисомть - не единственный баг мобильной операционой системы, выявленный в последнее время.
Как раз на днях технический гигант из Купертино выпустил iOS 10.3.1 с исправлением недостатка Wi-Fi модулей Broadcom.
Wi-Fi уязвимость iOS: находясь рядом с устройством, злоумышленник может с помощью специальной программы взломать Wi-Fi модуль устройства и запустить произвольный код. Злоумышленнику достаточно, чтобы аппарат был подключён к Wi-Fi-сети.
Вероятно, хакер может не просто внедрить эксплойт в гаджет, но и получить полный доступ к смартфону или планшету.
Google, чей сотрудник обнаружил ошибку, не предоставила другой информации о том, что влечёт за собой такая атака.
Впрочем, свет на это проливает исследование, проведённое Марко Грасси (Marco Grassi), экспертом в сфере IT-безопасности.
Грасси использовал баг в приложении WebSheet. Это внутренняя и недоступная пользователю служебная утилита iOS.
Она активируется, когда юзер подключается к сети Wi-Fi и та запрашивает авторизацию через веб-браузер.
До исправления бага, приложение WebSheet некорректно обрабатывало регистрационные операции такого рода, вследствие чего у злоумышленников появлялась возможность атаковать уязвимое устройство - выдать свою собственную авторизацию за публичную Wi-Fi сеть.
Как только жертва станет подключаться к сети злоумышленника, WebSheet откроется для аутентификации.
Злоумышленнику нужно лишь поместить вредоносный код на страницу логина и использовать обычный JavaScript, чтобы похитить cookie из браузера жертвы.
Браузерные cookie - крайне опасная вещь в чужих руках. Например, хакер может выдать себя за свою жертву на различных сайтах.
Если же в руки злоумышленника попадут cookie от мобильной версии сайта банка или платежной системы, жертва вообще рискует лишиться денег.
JPEG-уязвимость iOS: на прошлой неделе Apple исправила не только аудио - и беспроводную уязвимость: ей также пришлось устранить ещё 82 критических бага в iOS.
Пожалуй, самым тревожным недостатком был тот, который позволял вредоносному коду запустится, как только пользователь открывал для просмотра JPEG-изображение.
Опять же, проблема обнаружилась силами анонимного исследователя в рамках инициативы Zero Day.
Были ещё три «слабости системы», из-за которых злоумышленник мог запустить свой эксплойт во время обработки фотографии в среде ImageIO.
Вывод: Как бы там ни было, описанные выше недостатки «яблочной операционки» устранены в iOS 10.3.1.
В качестве дополнительного бонуса для тех, кто обновит ОС до уровня iOS 10.3, служит новая система шифрования (APFS). Она призвана помешать хакерам перехватывать данные с iPhone и iPad.
