Apple усунула вразливість, через яку слідкували за журналістами й активістами. Радять оновити iOS-пристрої

Американський техногігант Apple випустив оновлення своїх основних операційних систем до чергових версій разом із фіксом вразливості, виявленої в CoreGraphics і WebKit фахівцями з Citizen Lab. Тож тепер усім користувачам рекомендується терміново оновити свої пристрої, повідомляє The Verge.

Зокрема зазначено, що Apple випустила набір нових оновлень для iOS, macOS і watchOS, щоб виправити помилку, яка, як вважають дослідники безпеки з Citizen Lab, скоріше за все, дозволила урядовим установам встановлювати шпигунські програми на телефони журналістів, адвокатів та активістів.

Чому слід терміново оновити пристрої

За даними дослідників, помилка в операційній системі Apple дозволила встановити програму-шпигун Pegasus, що, як повідомляється, здатна красти дані, паролі та активувати мікрофон телефону чи камеру.

Враховуючи серйозність експлойту, користувачам гаджетів від Apple радять якомога швидше оновитись до iOS 14.8, macOS Big Sur 11.6 та watchOS 7.6.2.

Про вразливість стало відомо в серпні 2021 року. Тоді в Citizen Lab повідомили, що експлойт успішно використовувався проти телефонів з iOS 14.6, випущених у травні.

«Білі хакери» також заявили, що вразливість під кодовою назвою «ForcedEntry» може відповідати поведінці експлоата, про яку Amnesty International писала в липні. Тоді дослідники безпеки зазначали, що це стало можливим через помилку в системі CoreGraphics від Apple, і це сталося, коли телефон намагався використовувати функцію, пов’язану з GIF-файлами, після того, як він отримав текстове повідомлення, що містить шкідливий файл.

Однак, навіть маючи цю інформацію, складно точно визначити, що відбувається без доступу до самих заражених файлів. За інформацією Citizen Lab, вони виявили файли під час повторного аналізу резервної копії зі зламаного телефону активіста. Файли виглядали як GIF-файли, надіслані у вигляді вкладень SMS, але насправді були PSD та PDF-файлами (в нотатках щодо оновлення Apple зазначено, що проблема виникла під час обробки зловмисно створеного PDF-файлу).

Citizen Lab запідозрила, що вони могли бути пов’язані з Pegasus, тому 7 вересня надіслала файли Apple. Компанія швидко випустила оновлення програмного забезпечення з виправленням помилки 13 вересня і подякувала Citizen Lab у заяві за «завершення дуже важкої роботи щодо отримання зразка цього експлойту».

Нова версія iOS орієнтована лише на безпеку

Відомо також, що деякі оновлення виправляють і іншу проблему безпеки з WebKit для iOS та macOS Big Sur. Хоча незрозуміло, чи пов’язано це з подвигами NSO — його відкриття приписують «анонімному досліднику» замість Citizen Lab, і воно знаходиться в іншій частині системи, — Apple все ще каже, що його «можливо, активно експлуатували».

Така нагальна проблема безпеки пояснює, чому нове оновлення iOS випустили всього за день до важливої події Apple, де, як очікується, будуть анонсовані нові телефони, які, ймовірно, ніколи не працюватимуть з цією версією ОС.

Тим не менше, ще з початку серпня ходили чутки про випуск iOS 14.8, але враховуючи те, що випуск 13 вересня стосується лише виявлених раніше проблем безпеки, то не виключено, що можна очікувати принаймні ще один випуск iOS 14.

👍НравитсяПонравилось2
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Хто не в курсі: будь-якого користувача iOS можна було хакнути і отримати повний контроль над його девайсом, при цьому жертві не треба робити нічого (так званий zero-click метод). Не зберігайте важливі дані на iOS.

Подписаться на комментарии