1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

ESET: каждая пятая уязвимость в iOS является критической

Eset: пятая часть уязвимостей для iOS являются критическими

11:37 13.09.2019 | 3322 прочтения

Число вредоносных программ и обнаруженных уязвимостей для этой системы значительно выросло.

Международная антивирусная компания Eset в первом полугодии 2019 года обнаружила 155 уязвимостей в мобильной платформе Apple. Это на 24% больше, чем за аналогичный период 2018 года, и почти вдвое больше, чем количество уязвимостей в ОС Android. Однако только 19% уязвимостей в iOS являются критическими для мобильного устройства.

Ярким примером актуального вредоносного ПО для мобильной платформы Apple аналитики назвали шпионскую программу, встроенную в популярное приложение FaceTime. Она позволяла злоумышленникам следить за владельцами устройств. Владельцам iPhone и iPad угрожают и фишинговые кампании.

Исследователи подчеркивают, что ни одна операционная система не является абсолютно неуязвимой. Поэтому для обеспечения информационной безопасности следует сохранять бдительность при выборе мобильных приложений и не доверять незапрошенным письмам, в которых под различными предлогами просят предоставить персональные данные.

Интересно, что отечественные предприятия в два раза опережают коллег из СНГ по наличию в арсенале ИБ систем раннего оповещения: 44% против 21%.

Исследователи также сообщают о резком увеличении использований удаленного внедрения команд по протоколу HTTP— это затронуло треть организаций во всем мире.

В случае попадания пароля к злоумышленникам все аккаунты пользователя можно будет взломать с десяти попыток.

Три четверти ИТ-решений в промышленности имеют критические уязвимости, с помощью которых хакеры получают контроль над инфраструктурой.

Кроме того, 55% опрошенных и вовсе не знают, что такое фишинг.

В банке считают, что экономические потери продолжат расти.

Критическая уязвимость iOS 13 позволяет любому посмотреть ваши банковские карты

iOS 13 все еще находится в стадии бета-версии, поэтому баги и ошибки в этом случае — штука обыденная. Однако отдельно стоит отметить недавно обнаруженную уязвимость в операционной системе. Эта ошибка iOS 13, которая позволяет любому получить доступ к паролям от веб-сайтов и приложений в настройках iPhone.

При работе с бета-версией iOS 13 для разработчиков или второй общедоступной бетой невероятно легко обойти запрос аутентификации по Face ID или Touch ID в настройках, чтобы получить доступ к паролям из «Связки ключей». Проблема была впервые отмечена 13 июля. Но это не единственная дыра безопасности.

Как посмотреть банковские карты в iOS 13

Как пишут пользователи форума, вы можете получить доступ ко всем банковским картам в настройках (Safari — Автозаполнение), несколько раз подряд нажимая кнопку «Сохраненные кредитные карты», тем самым избегая всплывающих окон с «Face ID» или «Touch ID». После нескольких попыток iOS 13 покажет все банковские карты, сохраненные на iPhone, даже если вы никогда не проходили аутентификацию на этом устройстве с помощью Face ID или Touch ID. Здесь будет имя владельца, номер карты и срок действия.

Читать еще:  Fiat Chrysler поставит Voyage выполненные под заказ минивэны для переделки в робомобили

По словам пользователей, обнаруживших проблему, эта уязвимость присутствует в последней бета-версии iOS 13 для разработчиков. Apple уже была проинформирована о проблеме через приложение Feedback в iOS 13, но еще не дала обратную связь. Эта ошибка также есть в последних бета-версиях iPadOS 13. Конечно, чтобы получить доступ к этому меню, кому-то также потребуется сначала разблокировать ваше устройство с помощью Face ID, Touch ID или вашего пароля. Так что эта уязвимость сработает только в том случае, если вам предоставили доступ к разблокированному iPhone.

iOS 13 beta 3

Установив бета-версию iOS, вы должны осознавать определенный уровень риска, и эта уязвимость является хорошим примером этого самого риска. Однако не может не удивлять, что такая большая дыра в безопасности присутствует в публичной бета-версии iOS 13, которую Apple выпустила для всех пользователей.

Apple выпустила iOS 13 beta 3 для разработчиков 2 июля. Это означает, что до выхода iOS 13 beta 4, скорее всего, остался всего один день или два. В идеале iOS 13 beta 4 и iOS 13 public beta 3 устранят эту уязвимость, но нет никаких гарантий.

Подпишись на наш канал в «Яндекс.Дзен». Там пароли не нужны.

0-day уязвимость в iOS используется хакерами с 2018 года. Патча пока нет

Xakep #252. Чемоданчик хакера

Специалисты компании ZecOps обнародовали отчет, в котором рассказала о 0-day уязвимости в iOS, которая используется хакерами с 2018 года или даже дольше. Так, проблему удалось воспроизвести даже в iOS 6, выпущенной в 2012 году.

По данным специалистов, эксплуатация уязвимости не требует какого-либо взаимодействия с пользователем. Так, злоумышленникам достаточно просто отправить жертве вредоносное письмо. Если пользователь получит почту или откроет Apple Mail, эксплоит сработает. При этом для Gmail и других почтовых клиентов атака не актуальна.

«Уязвимость позволяет удаленно запустить произвольный код в контексте MobileMail (iOS 12) или maild (iOS 13). Успешное использование уязвимости позволит злоумышленнику похитить, изменить и удалить электронные письма», — гласит отчет экспертов.

Исследователи подчеркивают, что эксплуатация одного лишь этого 0-day не позволяет хакерам установить полный контроль над устройством, для этого требуется еще один эксплоит и уязвимость в ядре ОС. Из-за этого аналитики полагают, что в арсенале злоумышленников еще есть как минимум одна уязвимость и эксплоит для нее. Таким образом, получается, что хакеры эксплуатируют проблему out-of-bounds записи и еще одну проблему, связанную с переполнением хипа.

Также, по словам аналитиков, пользователям будет сложно понять, стали ли они жертвой атаки, так как злоумышленники удаляют вредоносные письма сразу после получения удаленного доступа к устройству жертвы.

К настоящему моменту были обнаружены попытки атак на частных лиц и компании из списка Fortune 500 в Северной Америке, руководство японской компании-перевозчика, германского поставщика услуг управляемой безопасности, европейского журналиста и так далее. Эксперты ZecOps отмечают, что обнаруженные атаки хорошо подходят под «профиль» одной известной правительственной хак-группы, но все же не раскрывают ее названия, опасаясь ошибиться с атрибуцией.

Аналитики уведомили Apple об обнаруженной проблеме нулевого дня еще 19 февраля текущего года, и компания занялась расследованием происходящего. 15 апреля 2020 года Apple выпустила бета-версию iOS 13.4.5, где уязвимость была исправлена. Но на этой неделе ситуация изменилась: исследователи решили рассказать о проблеме во всеуслышание до выхода патча и релиза стабильной версии iOS 13.4.5, так как ZecOps обнаружила попытки эксплуатации 0-day бага в логах своих клиентов.

Читать еще:  Игры Е3 2013 — часть вторая

Так как общедоступного патча пока нет, пользователям iOS рекомендуется отключить Apple Mail и использовать вместо него Gmail, Outlook или другой почтовый клиент.

Страшные цифры. Число уязвимостей в iOS выросло на 24%

Международная антивирусная компания ESET подготовила отчет об актуальных угрозах для владельцев мобильных устройств на платформе iOS. Число вредоносных программ и обнаруженных уязвимостей для этой системы значительно выросло.

Так, за первое полугодие 2019 года эксперты обнаружили 155 уязвимостей в мобильной платформе Apple. Это на 24% больше, чем за аналогичный период 2018 года, — и почти вдвое больше, чем количество уязвимостей в ОС Android.

Но есть и хорошие новости: лишь 19% уязвимостей в iOS являются критическими для мобильного устройства или приватности личных данных владельца.

Количество критических уязвимостей в iOS

Трендом 2019 года стали уязвимости для iOS, которые открывали ранее исправленные ошибки, а также позволили создать джейлбрейк для версии 12.4.

Ярким примером актуального вредоносного ПО для мобильной платформы Apple стала шпионская программа, встроенная в популярное приложение FaceApp. Она позволяла злоумышленникам следить за владельцами устройств и их окружением.

Владельцам iPhone и iPad угрожают и фишинговые кампании. Так, эксперты ESET обнаружили мошенническую рассылку, в которой от получателей требовали «верифицировать» персональные данные после восстановления доступа к Apple ID. После такой верификации вся информация попадала к злоумышленникам.

Помимо универсальных киберугроз, актуальных для iOS и Android, существуют так называемые кроссплатформенные риски, связанные с использованием сторонних платформ и сервисов. В качестве примера можно привести недавно обнаруженную ошибку в WhatsApp, которая позволяла злоумышленникам изменять ответы в цитируемых сообщениях.

Стоит отметить, что, вопреки распространенному заблуждению, ни одна ОС не является абсолютно неуязвимой — в том числе операционные системы Apple.

Поэтому для разумного использования мобильных технологий необходимо быть в курсе новостей об информационной безопасности, сохранять бдительность при выборе мобильных приложений, а также не доверять незапрошенным письмам, в которых под различными предлогами просят предоставить персональные данные.

0-day уязвимость в iOS используется хакерами с 2018 года. Патча пока нет

Xakep #252. Чемоданчик хакера

Специалисты компании ZecOps обнародовали отчет, в котором рассказала о 0-day уязвимости в iOS, которая используется хакерами с 2018 года или даже дольше. Так, проблему удалось воспроизвести даже в iOS 6, выпущенной в 2012 году.

По данным специалистов, эксплуатация уязвимости не требует какого-либо взаимодействия с пользователем. Так, злоумышленникам достаточно просто отправить жертве вредоносное письмо. Если пользователь получит почту или откроет Apple Mail, эксплоит сработает. При этом для Gmail и других почтовых клиентов атака не актуальна.

«Уязвимость позволяет удаленно запустить произвольный код в контексте MobileMail (iOS 12) или maild (iOS 13). Успешное использование уязвимости позволит злоумышленнику похитить, изменить и удалить электронные письма», — гласит отчет экспертов.

Исследователи подчеркивают, что эксплуатация одного лишь этого 0-day не позволяет хакерам установить полный контроль над устройством, для этого требуется еще один эксплоит и уязвимость в ядре ОС. Из-за этого аналитики полагают, что в арсенале злоумышленников еще есть как минимум одна уязвимость и эксплоит для нее. Таким образом, получается, что хакеры эксплуатируют проблему out-of-bounds записи и еще одну проблему, связанную с переполнением хипа.

Читать еще:  E3 2017: обратный отсчет

Также, по словам аналитиков, пользователям будет сложно понять, стали ли они жертвой атаки, так как злоумышленники удаляют вредоносные письма сразу после получения удаленного доступа к устройству жертвы.

К настоящему моменту были обнаружены попытки атак на частных лиц и компании из списка Fortune 500 в Северной Америке, руководство японской компании-перевозчика, германского поставщика услуг управляемой безопасности, европейского журналиста и так далее. Эксперты ZecOps отмечают, что обнаруженные атаки хорошо подходят под «профиль» одной известной правительственной хак-группы, но все же не раскрывают ее названия, опасаясь ошибиться с атрибуцией.

Аналитики уведомили Apple об обнаруженной проблеме нулевого дня еще 19 февраля текущего года, и компания занялась расследованием происходящего. 15 апреля 2020 года Apple выпустила бета-версию iOS 13.4.5, где уязвимость была исправлена. Но на этой неделе ситуация изменилась: исследователи решили рассказать о проблеме во всеуслышание до выхода патча и релиза стабильной версии iOS 13.4.5, так как ZecOps обнаружила попытки эксплуатации 0-day бага в логах своих клиентов.

Так как общедоступного патча пока нет, пользователям iOS рекомендуется отключить Apple Mail и использовать вместо него Gmail, Outlook или другой почтовый клиент.

ESET: 19% уязвимостей для платформы iOS от Apple являются критическими


Международная антивирусная компания ESET подготовила отчет об актуальных угрозах для владельцев мобильных устройств на платформе iOS. Число вредоносных программ и обнаруженных уязвимостей для этой системы значительно выросло.

Так, за первое полугодие 2019 года эксперты обнаружили 155 уязвимостей в мобильной платформе Apple. Это на 24% больше, чем за аналогичный период 2018 года, — и почти вдвое больше, чем количество уязвимостей в ОС Android.

Но есть и хорошие новости: лишь 19% уязвимостей в iOS являются критическими для мобильного устройства или приватности личных данных владельца.

Трендом 2019 года стали уязвимости для iOS, которые открывали ранее исправленные ошибки, а также позволили создать джейлбрейк для версии 12.4.

Ярким примером актуального вредоносного ПО для мобильной платформы Apple стала шпионская программа, встроенная в популярное приложение FaceTime. Она позволяла злоумышленникам следить за владельцами устройств и их окружением.

Владельцам iPhone и iPad угрожают и фишинговые кампании. Так, эксперты ESET обнаружили мошенническую рассылку, в которой от получателей требовали «верифицировать» персональные данные после восстановления доступа к Apple ID. После такой верификации вся информация попадала к злоумышленникам.

Помимо универсальных киберугроз, актуальных для iOS и Android, существуют так называемые кроссплатформенные риски, связанные с использованием сторонних платформ и сервисов. В качестве примера можно привести недавно обнаруженную ошибку в WhatsApp, которая позволяла злоумышленникам изменять ответы в цитируемых сообщениях.

Стоит отметить, что, вопреки распространенному заблуждению, ни одна ОС не является абсолютно неуязвимой — в том числе операционные системы Apple.

Поэтому для разумного использования мобильных технологий необходимо быть в курсе новостей об информационной безопасности, сохранять бдительность при выборе мобильных приложений, а также не доверять незапрошенным письмам, в которых под различными предлогами просят предоставить персональные данные.

Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector