7 Apple drošības pārkāpumi, uzlauzumi un trūkumi, par kuriem jūs nezināt

7 Apple drošības pārkāpumi, uzlauzumi un trūkumi, par kuriem jūs nezināt
Tādi lasītāji kā jūs palīdz atbalstīt MUO. Veicot pirkumu, izmantojot saites mūsu vietnē, mēs varam nopelnīt filiāles komisiju. Lasīt vairāk.

Uzņēmumam Apple nav sveši drošības incidenti, neatkarīgi no tā, vai tie ir uzlauzumi, pārkāpumi vai ievainojamības. Jūs, iespējams, nezināt par šīm dažādajām problēmām, un dažas joprojām var jūs pakļaut riskam. Tātad, par kuriem Apple uzlaušanas gadījumiem, pārkāpumiem un ievainojamībām jums jāzina?





kāda ir labākā bezmaksas filmu lietotne
MUO dienas video RITINĀT, LAI TURPINĀTU AR SATURU

Apple uzlauzumi un pārkāpumi

Gadu gaitā Apple ir pieredzējis diezgan lielu uzlaušanas daļu, un daži no tiem ir bijuši smagāki par citiem. Sāksim ar uzlaušanu, kas notika pirms vairāk nekā desmit gadiem.



1. XCodeGhost Hack (2015)

2015. gadā 128 miljonus iPhone lietotāju skāra uz ļaunprogrammatūras balstīta uzlaušana. Hakeri izmantoja ļaunprātīgu XCode versiju, Apple izstrādes vidi visām operētājsistēmām, tostarp iOS. Izmantojot šo ļaunprātīgo programmatūru, kas pazīstama kā XCodeGhost, hakeriem izdevās uzlauzt aptuveni 50 lietotnes no Apple App Store. Tie, kas bija lejupielādējuši ietekmētās lietotnes, bija neaizsargāti pret uzlaušanu, un tika lēsts, ka tajā laikā apdraudēti bija aptuveni 500 miljoni lietotāju.





Lai gan patiesībā šis lielais aprēķins izrādījās nedaudz mazāks, Apple tiesas cīņā ar Epic Games iesniegtie dokumenti atklāja, ka joprojām tika ietekmēti 128 miljoni cilvēku, tostarp 18 miljoni lietotāju ASV (kā ziņoja Drošības lietas ).

Īpaši strīdīgs šajā incidentā ir tas, ka Apple tajā laikā nolēma nepaziņot riskam pakļautajiem lietotājiem par uzbrukumu. Bija nepieciešami vēl seši gadi, lai sabiedrība apzinātos uzlaušanas patieso būtību, kas nāca gaismā iepriekšminētajā Apple pret Epic Games tiesas prāvā.



2. Pegasus Spyware (no 2016. gada un turpmāk)

oranžas pegaza neona gaismas attēls

Bēdīgi slavenā spiegprogrammatūra Pegasus pirmo reizi tika palaista 2016. gadā, bet globāli ievērības cienīga kļuva 2021. gadā, kad tā tika izmantota iOS izmantošanai īpaši mērķtiecīgos uzbrukumos. Pegasus izstrādāja Izraēlas NSO grupa, pretrunīgi vērtēta organizācija, kas pagātnē daudzkārt ir nonākusi drošības ziņu virsrakstos. Valdības hakeri tagad izmanto šo spiegprogrammatūru, lai veiktu savus kibernoziegumus, tāpēc tas ir pazīstams vārds kiberdrošības ekspertiem. Faktiski NSO grupa ir pārdevusi savu Pegasus spiegprogrammatūru daudzām valdībām un štatiem, tostarp Indijai un Meksikai.

Šajā Apple darbībā tika ļaunprātīgi izmantota iOS ievainojamība, lai iPhone tālruņos palaistu Pegasus spiegprogrammatūru. An oficiālais Apple paziņojums paskaidroja, ka tādas funkcijas kā Bloķēšanas režīms var izmantot aizsardzībai pret šādiem uzbrukumiem, kā arī spēcīgas paroles un programmatūras atjauninājumus. Tika arī paziņots, ka draudu paziņojumi tiks izmantoti, lai brīdinātu lietotājus, pret kuriem varētu būt vērsušies valsts sponsorēti uzbrucēji.



Iepazīstieties ar mūsu ceļvedi pārbaudiet, vai jūsu iPhone nav inficēts ar Pegasus ja jūs uztrauc šī spiegprogrammatūra.

3. SolarWinds (2021)

attēls, kurā redzama persona, kas valkā cimdus bez pirkstiem un raksta datorā Macbook

The SolarWinds uzbrukums satricināja tehnoloģiju un kiberdrošības nozari 2021. gadā, un Apple neizdevās izvairīties no triecienviļņiem.



SolarWinds uzbrukuma laikā hakeri izmantoja iOS 14 nulles dienas koda ievainojamību, lai iefiltrētos iPhone tālruņos. Trūkuma dēļ hakeri izmantoja ļaunprātīgus domēnus, lai iPhone lietotājus novirzītu uz pikšķerēšanas vietnēm. Tas savukārt ļāva uzbrucējiem nozagt lietotāju pieteikšanās akreditācijas datus, kurus pēc tam varēja izmantot, lai uzlauztu kontus vai pārdotu tos citiem nelegāliem dalībniekiem nelegālos tirgos.

4. Apple un Meta datu pārkāpums (2021)

Pēdējais Apple drošības incidents notika 2021. gada vidū, kad Apple un Meta darbiniekus apmānīja hakeri, kas uzdodas par tiesībaizsardzības amatpersonām. Uzbrukumā hakeri vispirms uzlauza tiesībaizsardzības iestāžu kontus un tīklus un pēc tam nosūtīja viltotus steidzamus datu pieprasījumus abu tehnoloģiju gigantu darbiniekiem, mudinot ātri reaģēt. Atbildot uz šo šķietami oficiālo pieprasījumu, tika norādītas lietotāju IP adreses, mājas adreses un kontakttālruņi.

Ir svarīgi atzīmēt, ka Apple un Meta darbinieki nesniedza informāciju nejauša pieprasījuma dēļ. Uzbrucēji uzlauza likumīgās policijas sistēmas, lai nosūtītu pieprasījumu, kas apgrūtināja atklāšanu.

Apple ievainojamības

piekaramie kodēšanas dati

Apple dažādās programmatūras, tostarp tās operētājsistēmas, var kļūt par koda ievainojamības upuriem. Tātad, kas jums būtu jāzina?

kā spēlēt emulatorus uz wii

1. Kodola un WebKit ievainojamības (2022)

2022. gada augustā Apple paziņoja, ka ir atradis kodola ievainojamību (oficiāli pazīstama kā CVE-2022-32894 ), kas ļāva izpildīt patvaļīgu kodu ar kodola privilēģijām. Apple laboja CVE-2022-32894 ar macOS Monterey, tādēļ, ja esat manuāli instalējis šo atjauninājumu vai izmantojat jaunāku macOS versiju nekā Monterey, jums vajadzētu būt gatavam.

Līdz ar šo ievainojamību tika atklāts arī Apple WebKit trūkums. Šis trūkums arī radīja patvaļīgas koda izpildes risku ļaunprātīga tīmekļa satura rezultātā. Tāpat kā iepriekš minētā ievainojamība, WebKit trūkums operētājsistēmai MacOS Monterey jau sen ir izlabots.

2. Blastpass ievainojamības (2023)

koda rindiņu attēls ekrānā

2023. gada septembrī tika atklātas divas Apple nulles dienas ievainojamības, ko izmantojuši uzbrucēji. Ievainojamības, kas oficiāli pazīstamas kā CVE-2023-41064 un CVE-2023-41061 , savā iOS programmatūrā.

CVE-2023-41064 bija bufera pārpildes ievainojamība, kas pieļauj patvaļīgu koda izpildi un var ietekmēt visus iPhone 8. modeli un jaunākus tālruņus, kuros darbojas iOS 16.6 vai jaunāka versija. Dažus iPad modeļus var izmantot arī šīs nepilnības dēļ. CVE-2023-41061, kas tika atklāts neilgi pēc pirmā no diviem trūkumiem, bija validācijas problēma, kuru varēja ļaunprātīgi izmantot, izmantojot ļaunprātīgus pielikumus.

Ja šīs divas ievainojamības tika izmantotas vienlaikus, tās izveidoja ļaunprātīgas izmantošanas ķēdi, kas pazīstama kā Blastpass, un bija daļa no NSO grupas Pegasus spiegprogrammatūras piegādes ķēdes, kā ziņoja Pilsoņu laboratorija . Blastpass var tikt izmantots, lai uzlauztu iPhone un iPad, upurim pat nevajadzot mijiedarboties ar jebkādām ļaunprātīgām tīmekļa lapām vai sakariem. Tie ir pazīstami arī kā nulles klikšķu ievainojamības .

Tomēr, izmantojot Apple bloķēšanas režīmu, ķēde var tikt apturēta, neļaujot tai inficēt jūsu ierīci. Ir pieejams arī ielāps divām izmantotajām ievainojamībām.

3. Fonda ievainojamības (2023)

2023. gada sākumā tika atklātas trīs Apple nulles dienas ievainojamības, kas pakļāva riskam daudzas Apple operētājsistēmas, tostarp iOS, iPadOS un macOS. Divas no ievainojamībām tika atrastas Apple's Foundation sistēmā, kas nodrošina Apple lietotņu funkcionalitātes un sadarbspējas pamata līmeni. Šīs trīs ievainojamības, kas pazīstamas kā CVE-2023-23530 , CVE-2023-23531 , un CVE-2023-23520 , sniedza uzbrucējiem iespēju attālināti izpildīt ļaunprātīgu kodu inficētajās ierīcēs.

2023. gada februārī Apple izlaboja trīs drošības trūkumus, tāpēc jums vairs nevajadzētu saskarties ar tiem, ja esat regulāri atjauninājis savu Apple ierīci.

Apple nav necaurlaidīgs pret uzlaušanu un ievainojamībām

Apple programmatūra un aparatūra ir ļoti droša, taču jūs joprojām varat saskarties ar riskiem un kiberuzbrukumiem kā Apple lietotājs. Neatkarīgi no tā, vai izmantojat Apple tālruni, planšetdatoru, datoru vai pulksteni, nekad neuzskatiet, ka esat neizturīgs pret drošības problēmām. Vienmēr vislabāk ir sekot līdzi jaunākajām Apple ievainojamībām, uzlaušanas gadījumiem un pārkāpumiem, lai varētu labāk sevi aizsargāt un sagatavoties turpmākiem incidentiem.