Многие владельцы iPhone и iPad предпочитают лишний раз не обновлять систему на своем устройстве, поскольку боятся, что очередной апдейт может негативно повлиять на аккумулятор или время работы. Забывая, что Apple не просто так выпускает обновления iOS, зачастую компания вносит улучшения безопасности и латает «дыры» в системе. Так случилось, например, с iOS 14.4, в которой Apple исправила аж три критические уязвимости, которыми могли воспользоваться хакеры и другие злоумышленники.
На этот раз об устранении проблем сообщила сама Apple, поскольку уязвимости оказались действительно серьезными. Например, они могли скомпрометировать криптовалютный кошелек на айфоне — представляете, какой был бы ущерб, если бы хакеры прознали про это? Главный разработчик Coinbase, одного из самых популярных криптовалютных кошельков, призвал всех, кто пользуется соответствующими мобильными приложениями, КАК МОЖНО СКОРЕЕ обновить iOS.
⚠️ If you are using a mobile crypto wallet on an iOS device, be sure to update iOS as soon as possible! The update includes a fix for a remote arbitrary code execution vulnerability that may have been actively exploited.https://t.co/qyK9eygST4
Мобильные кошельки — популярный способ для владельцев криптовалюты хранить и передавать свои цифровые активы. Они также облегчают трату криптовалют.
Уязвимости iOS
Две уязвимости были обнаружены в WebKit, движке браузера, на котором работает Safari, и в ядре самой операционной системы. Это особенно опасно, так как некоторые программы для взлома используют совокупность уязвимостей, связанных вместе, а не какую-то одну ошибку. Злоумышленники нередко сначала атакуют браузер, пользуясь «дырами», обнаруженными в движке, а затем получают доступ к уязвимостям в операционной системе.
Apple заявила, что выявленные уязвимости могли быть широко использованы злоумышленниками, но за счет того, что проблемы удалось быстро локализовать (благодаря экспертам, которые пожелали остаться анонимными), данные пользователей будут в безопасности. Если, конечно, они установят iOS 14.4 — в противном случае пользователи рискуют стать жертвами хакеров, которые могут воспользоваться уязвимостями.
В 2019 году эксперты по безопасности Google обнаружили ряд вредоносных веб-сайтов, содержащих код, который незаметно взламывал iPhone жертв и получал доступ к геолокации. Вскоре вышло расследование на TechCrunch, где журналисты утверждали, что атака была частью операции, вероятно, китайского правительства по слежке за мусульманами. В ответ Apple оспорила некоторые выводы Google в столь же редком публичном заявлении. Компания впоследствии столкнулась с большей критикой за недооценку серьезности атаки.
А буквально прошлом месяце служба наблюдения Citizen Lab обнаружила, что у десятков журналистов были взломаны iPhone с помощью ранее неизвестной уязвимости. На смартфонах было установлено шпионское ПО, разработанное израильской компанией NSO Group.
Надо отдать Apple должное, большинство серьёзных проблем iOS выявляются еще на этапе бета-тестирования, и компания выпускает оперативные баг-фиксы, чтобы уязвимость не оказалась в релизной версии iOS. Но иногда случаются такие проблемы, и в данном случае от компании требуется принять максимально оперативные меры.
Неизвестно, смог ли кто-то воспользоваться «дырой» в iOS 14.3, и были ли пострадавшие пользователи в результате этого. Apple не сообщила, была ли атака нацелена на небольшую группу пользователей или это была более масштабная операция. В письме говорится, что Apple предоставила анонимность лицу, который сообщил об ошибке.
Ввиду отсутствия подробностей пользователям iPhone и iPad следует как можно скорее выполнить обновление до iOS 14.4. Это именно тот случай, когда это будет в ваших же интересах.