Apple iOS, operačný systém bežiaci na telefónoch iPhone, je zraniteľný voči niekoľkým novým chybám zabezpečenia. Je potrebné poznamenať, že chyby nevyžadujú žiadnu interakciu s používateľom. Zraniteľnosti zabezpečenia je možné údajne vykonať úplne bez toho, aby používateľ musel vykonať akúkoľvek akciu, kliknúť na akýkoľvek odkaz, stiahnuť ľubovoľnú aplikáciu atď. Mimochodom, nie je to prvýkrát, čo sa zistili také vážne nedostatky v systéme iOS .
Dnes boli odhalené dve nové vážne chyby zabezpečenia v operačnom systéme Apple iOS. Zdá sa, že tieto chyby v systéme iOS potenciálne umožňujú útočníkom získať prístup k zariadeniu iPhone so systémom iOS bez akejkoľvek akcie používateľa. Dôležitejšie je, že vzdialene vykonaný útok môže umožniť aj vzdialené vykonávanie kódu (RCE), ktoré môže zahŕňať administratívnu kontrolu nad iPhone obete. Aj keď to ešte nebude oficiálne potvrdené, novoobjavené chyby zabezpečenia sa využívajú vo voľnej prírode. Apple si zjavne uvedomuje bezpečnostné chyby a očakáva sa, že vydá aktualizáciu, ktorá ich opraví.
Zraniteľnosť zariadenia Apple iOS 6 nad iPhone na novoobjavené a aktívne využívané chyby zabezpečenia:
Novo objavené chyby zabezpečenia v operačnom systéme Apple iOS umožňujú útočníkovi vzdialene zasiahnuť zariadenie obete. Chyby navyše umožňujú útočníkom získať prístup k zariadeniu so systémom iOS bez akejkoľvek akcie používateľa. Väčšina útokov si vyžaduje určité kroky používateľa, ako napríklad kliknutie na odkaz, inštalácia nejakej aplikácie alebo otvorenie dokumentu, aby mohol útok začať. V takom prípade však môže útočník iba posielať e-maily, ktoré spotrebúvajú značné množstvo pamäte, a získať v prístroji možnosti vzdialeného spustenia kódu.
Day-Zero zraniteľnosti a útoky;
Bezpečnostné incidenty https://t.co/KAez4d9890
- DR. Ezer Osei Yeboah-Boateng (@DrYeboahBoateng) 22. apríla 2020
Vážne bezpečnostné chyby vo vnútri systému iOS s nulovou interakciou používateľa objavila bezpečnostná firma ZecOps. Vedci z tejto spoločnosti tvrdia, že útočníci tieto zraniteľnosti vo voľnej prírode už používajú. Bez identifikácie cieľov vedci tvrdili, že novo objavené chyby v zabezpečení sa úspešne použili na zacielenie na tieto osoby:
- Jednotlivci z organizácie Fortune 500 v Severnej Amerike
- Výkonný riaditeľ dopravcu v Japonsku
- VIP z Nemecka
- MSSP zo Saudskej Arábie a Izraela
- Novinár v Európe
- Podozrenie: Výkonný pracovník zo švajčiarskeho podniku
iOS je operačný systém s úplne uzavretým zdrojom navrhnutý a vyvinutý spoločnosťou Apple. Je prísne kontrolovaný a regulovaný. Operačný systém nie je taký otvorený ako Google Android. Posledná aktualizácia systému iOS je iOS 13. Tieto chyby zabezpečenia však ovplyvňujú všetky zariadenia so systémom iOS 6 a novším. Vedci v oblasti bezpečnosti, ktorí skúmajú tieto chyby, zdôraznili spôsoby, ako môžu útočníci narušiť systém iPhone so systémom Apple iOS. V posledných verziách systému iOS je možné útok vykonať nasledujúcimi spôsobmi:
- Útok na iOS 13: Neasistované (/ bez kliknutia) útoky na iOS 13, keď je aplikácia Mail otvorená na pozadí
- Útok na iOS 12: Útok si vyžaduje kliknutie na e-mail. Útok bude spustený pred vykreslením obsahu. Používateľ si v e-maile nevšimne nič neobvyklé
- Nepodporované útoky na systém iOS 12 je možné spustiť (aka bez kliknutia), ak útočník ovláda poštový server
Vedci odhalili dvojicu bezpečnostných zraniteľností v aplikácii iOS Mail, Apple pracuje na patche https://t.co/paZq1Jd4vc pic.twitter.com/AA8ZUVcbev
- i Phone Doctor (@Mr_iPhoneDoctor) 22. apríla 2020
Apple opraví chyby zabezpečenia v nadchádzajúcej aktualizácii:
Vedci tvrdia, že Apple si je vedomý týchto bezpečnostných nedostatkov v systéme iOS. Dodali, že sa očakáva, že spoločnosť Apple vydá prírastkovú aktualizáciu systému iOS, ktorá bude obsahovať opravu, ktorá opraví chyby zabezpečenia. Kým však spoločnosť Apple nevydá aktualizáciu, existuje spôsob, ako zabrániť tomu, aby ste boli zameraní alebo sa nestali obeťou bezpečnostných chýb.
Dve bezpečnostné chyby nulového dňa ovplyvňujúce zariadenia iPhone a iPad boli nájdené spustením ZecOps v oblasti kybernetickej bezpečnosti po objavení série prebiehajúcich vzdialených útokov, ktoré boli zamerané na iO ... prostredníctvom @BleepinComputer # bezpečnosť #tech #WednesdayWisdom https://t.co/2lHdxMOmfh
- AJ Durling (@Gurgling_MrD) 22. apríla 2020
Vedci odporúčajú úplne sa vyhnúť aplikácii Apple Mail. Je to e-mailová platforma, ktorá je navrhnutá, vyvinutá a udržiavaná spoločnosťou Apple. Mimochodom, poštová aplikácia podporuje e-mailové účty tretích strán, ako sú Gmail, Outlook atď. Preto, kým spoločnosť Apple nevydá aktualizáciu na opravu chýb, môžu sa používatelia spoliehať na aplikáciu Microsoft Outlook alebo iných podobných e-mailových klientov.
[Aktualizácia] Spoločnosť Apple údajne vydala aktualizáciu, ktorá má opraviť dve chyby zabezpečenia v aplikácii Apple Mail.
Značky jablkoSpoločnosť Apple opravila dve chyby zabezpečenia ovplyvňujúce aplikáciu Mail v systéme iOS 13.4.5 Beta https://t.co/PoNsQqNPyL AAPL pic.twitter.com/fRUtjTUMNs
- MacHash (@MacHashNews) 22. apríla 2020
![[Oprava] Inštalácia aplikácie VJoy zlyhala](https://jf-balio.pt/img/how-tos/90/vjoy-failed-install.png)
