IPhone 13 может быть готов к запуску завтра, но Apple быстро исправляет серьезную уязвимость своих устройств с помощью нового обновления для iOS 14.8, iPad 14.8 и watchOS 7.6.2, ни одному из которых не был предоставлен период бета-тестирования. Хотя ни одно из них не содержит основных функций, которых можно было ожидать перед завтрашним мероприятием California Streaming, это важные обновления безопасности, поскольку они содержат исправления двух системных уязвимостей.

Потенциально более серьезным является Pegasus, инвазивное шпионское ПО, обнаруженное израильской группой NSO. Этот эксплойт с нулевым щелчком не требует ввода от пользователя телефона, чтобы вступить в силу, и использовался специально против активистов в Бахрейне, включая членов Бахрейнского центра по правам человека. Победив систему безопасности Apple BlastDoor, эксплойт ForcedEntry смог установить шпионский пакет Pegasus для целей наблюдения.

По данным New York Times, шпионское ПО способно заразить широкий спектр устройств Apple. После заражения он может включать камеру и микрофон вашего устройства, записывать сообщения и получать доступ к текстам, электронной почте и звонкам, даже если они зашифрованы.

Приложение Signal
Сигнал

Вторая уязвимость позволяет злоумышленникам обойти BlastDoor, который был реализован в январе, чтобы поставить линию защиты между приложением Сообщения и остальной частью iOS.

Сообщения традиционно были самым слабым звеном в безопасности устройств iOS, поскольку Apple не проделала большой работы по очистке входящих данных от других пользователей; в самом низу точки злоумышленник мог взять под контроль чей-то iPhone, отправив ему конкретное текстовое сообщение или фотографию. BlastDoor работает, отфильтровывая входящий неверный код.

Согласно официальные примечания к патчу, новые обновления затрагивают CoreGraphics и WebKit и устраняют проблемы, которые влияют на «обработку злонамеренно созданных» PDF-файлов и веб-содержимого. Эти проблемы, согласно характерно расплывчатой ​​политике Apple, «могли активно эксплуатироваться».

Это продолжение распространенной в июле и августе истории о новом взломе, который исследователи Университета Торонто из Citizen Lab назвали «ForcedEntry», с помощью которого удалось победить BlastDoor.

Примечательно, что новое обновление Apple выходит за день до мероприятия «California Streaming», на котором будут представлены iPhone 13 и другие устройства, и как раз перед ожидаемым выпуском iOS 15. Таким образом, обновление в понедельник может стать последним для iOS 14, и приходит в то время, когда иначе его было бы легко пропустить. Это отражает важность обновления, которое Apple вообще выпустила, вместо того, чтобы просто отложить в сторону и позволить исправить это с выпуском iOS 15.

Все три обновления доступны по беспроводной сети на момент написания и заменяют iOS 14.7.1, iPadOS 14.7.1 и WatchOS 7.6.1.

Рекомендации редакции

Pegasus и BlastDoor – вот почему вам нужно немедленно обновить свои устройства Apple

Comments

No comments yet. Why don’t you start the discussion?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *