Bezpečnostným problémom sa nevyhýbajú ani pomerne bezpečné operačné systémy od Apple. Posledný prípad dokazuje užitočnosť sťahovania najnovších aplikácií.
Apple vydal bezpečnostné aktualizácie pre iOS, iPadOS, macOS a watchOS, opravujú dve zraniteľnosti nultého dňa známe aj ako BLASTPASS. O čo presne ide?
Zraniteľnosť nultého dňa sú bezpečnostné chyby, ktoré boli objavené skôr, ako ich odhalili výskumníci v oblasti bezpečnosti, resp. vývojári. Práve preto znamenajú vyššie riziko ako iné hrozby. Používateľ si totiž nakazí svoje zariadenie prakticky bez toho, aby na niečo klikol, niečo si stiahol, takže tu neplatí známa poučka nič si nesťahujte z neznámych zdrojov.
Nová aktualizácia (CVE-2023-41064 a CVE-2023-41061) odstraňuje práve tieto zraniteľnosti. Zahŕňa iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 a watchOS 9.6.2.
Bezpečnostné aktualizácie pre iOS, iPadOS, macOS a watchOS majú zabrániť útočníkom nainštalovať do vašich zariadení malvérom nakazené obrázky a prílohy. Ak rozmýšľate, ako je to možné, tak vedzte, že veľmi jednoducho. Stačí si otvoriť škodlivý obrázok z WhatsApp, z iMessage či dokonca zo Safari a môže sa vám spustiť inštalácia škodlivého softvéru. Túto techniku kyberútoku poznáme ako steganografia, skrytie súboru v inom súbore. Funguje tak, že do metadát, ktoré sú súčasťou obrázka, je vložený škodlivý kód.
Aj keď sa zvyčajne vyhýbate aktualizáciám, tento patch by ste si nemali nechať ujsť, pretože opravuje dve vážne chyby.
Nové bezpečnostné medzery oznámilo ako prvé Citizen Lab na Munk School of Global Affairs & Public Policy na University of Toronto. Citizen Lab hovorí, že BLASTPASS bol „používaný na doručovanie žoldnierskeho spywaru Pegasus skupiny NSO Group“. Zneužitie zahŕňalo prílohy PassKit obsahujúce škodlivé obrázky odoslané z účtu iMessage útočníka obeti.
Exploatačný reťazec bol schopný kompromitovať telefóny iPhone s najnovšou verziou iOS (16.6) bez akejkoľvek interakcie zo strany obete. „Veríme a tím bezpečnostného inžinierstva a architektúry spoločnosti Apple nám to potvrdil, že režim uzamknutia blokuje tento konkrétny útok,“ uviedlo na webstránke Citizen Lab.