{"id":684,"title":"\u0417\u0430\u0433\u0430\u0434\u043a\u0438 \u0414\u0440\u0435\u0432\u043d\u0435\u0433\u043e \u0415\u0433\u0438\u043f\u0442\u0430: \u0441\u043b\u043e\u0436\u043d\u044b\u0439 \u043a\u0432\u0435\u0441\u0442 \u0434\u043b\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u043e\u0432","url":"\/redirect?component=advertising&id=684&url=https:\/\/tjournal.ru\/special\/egypt&hash=3f0edb718f446ef99ddb77ab9b8019501386fd146044284cdab3286f9b155d48","isPaidAndBannersEnabled":false}

В iOS нашли критические уязвимости, позволявшие сайтам взламывать айфоны Статьи редакции

Злоумышленники могли получить сообщения, файлы и геолокацию пользователей, если те заходили на вредоносный сайт.

Исследователи по кибербезопасности Google рассказали о масштабной атаке на iOS-устройства. Из-за недостатков безопасности системы злоумышленники могли взломать любые айфоны, владельцы которых зашли на заражённый сайт.

Когда пользователь открывал страницу, хакеры получали доступ сообщениям, файлам и геолокации пользователей в реальном времени. Кроме того, они могли внедрить программный имплант, который позволял обходить систему keychain — она защищает пароли и логины пользователей на iOS и macOS.

Исследователи обратились в Apple сразу после обнаружения проблемы в феврале 2019 года. Компании дали семь дней на исправления, хотя обычно срок составляет 90 дней. Apple закрыла уязвимость 7 февраля с выпуском iOS 12.1.4 — в той же версии исправили ошибку, позволявшую прослушивать пользователей iOS через FaceTime.

Исследователи из Google рассказали, что заражённые сайты посещали «тысячи пользователей» каждую неделю. По данным Motherboard, атака могла стать «крупнейшей в истории iPhone».

Журналисты отметили, что благодаря обходу защиты keychain злоумышленники могли получить доступ к любым данным и сертификатам, хранившимся в системе, включая базы данных мессенджеров с шифрованием вроде WhatsApp и iMessage. На конечном устройстве переписка хранилась в открытом виде, поэтому хакеры могли прочитать чужие сообщения.

Как пояснили в Motherboard, атаку отличает её «беспорядочность». Обычно хакеры присылают ссылки на вредоносные сайты конкретным людям, которых хотят взломать, но в этом случае пользователям достаточно было посетить заражённый ресурс, чтобы получить имплант в системе.

Программная заплатка хакеров стиралась после каждой перезагрузки устройства из-за особенностей iOS. Но так как злоумышленники обходили защиту keychain, они могли получить доступ к ключам авторизации, которые содержал раздел: это позволяло им сохранять доступ к сервисам и аккаунтам надолго даже в случае удаления импланта.

В общей сложности исследователи Google нашли 14 уязвимостей и пять цепочек эксплоитов, которым были подвержены все устройства с 10 до 12 версии iOS. По их мнению, это значит, что злоумышленники пытались взломать пользователей на протяжении двух лет.

Byaju

Исследователи считают, что несмотря на исправление уязвимостей, в системе ещё остались недоработки безопасности, которые они не обнаружили. По их словам, злоумышленники «почти наверняка» проводили и другие атаки, которые ещё предстоит найти.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u043f\u0440\u0438\u0432\u0430\u0442\u043d\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043a\u0438\u0431\u0435\u0440\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","ios","apple"], "comments": 27, "likes": 33, "favorites": 2, "is_advertisement": false, "subsite_label": "tech", "id": 113904, "is_wide": false, "is_ugc": false, "date": "Fri, 30 Aug 2019 13:15:48 +0300", "is_special": false }
0
27 комментариев
Популярные
По порядку
Написать комментарий...

Нелепый Женя

73

хакеры получали доступ к файлам

ха-ха, а сами пользователи айфона - нет

Ответить
17

Злоумышленники могли получить файлы

Я на своем телефоне и так с трудом получаю эти файлы, настолько эта система закрытая, а эти блять через сайт

Ответить

Всеобщий Паша

Woody
2

Когда в детстве вместо игры в CS игрался с командной строкой

Ответить
1

и создавал у друга на компе овер тыщу папок с матерными названиями

Ответить

Всеобщий Паша

7
Ответить
1

Никогда такого не было и вот сейчас... (с)

Ответить
11

Комментарий удален по просьбе пользователя

Ответить
0

Самое охуенное что я сейчас нахожусь в тундре (тут нет wi-fi), и не могу качать обновление

Ответить
12

Комментарий удален по просьбе пользователя

Ответить

Жесткий огонь

Искусный
2

Я его уже давно вычислил, весь можжевельник мне вытоптал зараза.

Ответить
0

Скорее медведи , я на севере

Ответить

Временной меч

Tellst
1

А что, в айфоне до сих пор нельзя скачать обновление по мобильной сети?

Ответить
2

ха, там ограничение вроде было на размер. Насколько я знаю его пофиксили. Но сворачивание звонков так и не сделали тролфейсжипег

Ответить
2

Сворачивание звонков в айфоне есть уже лет 10.

Ответить

Нелепый Женя

Vitaly
2

Сворачивание звонков в айфоне до того, как ты на него ответил. Этого нет, приходится через jb делать

Ответить

Здешний Валера

Нелепый
–3

Я до сих пор не понимаю, в чем проблема его отклонить.

Ответить

Связанный бокал

Здешний
1

Комментарий удален по просьбе пользователя

Ответить
0

Проблема в том, что звонок прерывает текущую активность. Если пишешь звук или видео, и запись может непредсказуемо прерваться из-за звонка — не очень удобно.

Ответить
1

Ты путаешь обновления системы с установкой приложений. Для второго ограничения убрали, а для первого — нет.

Ответить
4

А почему тогда в последнее время не было крупных порно-сливов? Или всё ещё впереди?

Ответить
0

Люди способные к чуть больше чем выманиванию пароля имеют другой круг интересов

Ответить
2

Исследователи считают, что несмотря на исправление уязвимостей, в системе ещё остались недоработки безопасности, которые они не обнаружили. По их словам, злоумышленники «почти наверняка» проводили и другие атаки, которые ещё предстоит найти.

Философский подход…

Ответить
1

ВЗЛОМ ЖЁПЫ

Ответить

Желтый шар

0

Исследователи считают, что несмотря на исправление уязвимостей, в системе ещё остались недоработки безопасности, которые они не обнаружили.

Капитан-капитан, улыбнитесь!

Ответить
0

Тут на днях пререкались с одним. Говорит - была одна проблема, с аккумуляторами или что-то в этом роде, и не упомнишь теперб - решили. И всё. ВСЁ, понимаете? А тут такое. Не горюй, ябломэн, ставь минус поганому ведроиду, полегчает, точно тебе говорю. И вообще, подозрительно, наверняка в конспиративном офисе гугл всё сфальсифицировали. А излишки денег твоих, изъятые мудрой яблокомпанией, хоть и, видимо, не на безопасность потрачены, но на что-то хорошее, я уверен.

Ответить
0

А если стояло ограничение к "аккаунты" из родительского, то утекли сертификаты бы?
Я про эту статейку, советую ознакомится https://habr.com/ru/post/462271/

Ответить
Обсуждаемое
Новости
ГИБДД поддержала снижение скорости в городах до 30 километров в час
Но делать это надо «индивидуально и обоснованно» для каждой улицы.
Новости
«Полностью раскаиваюсь»: СК опубликовал видео, в котором Хованский признаёт вину в оправдании терроризма
Блогеру пока не избрали меру пресечения и не предъявили обвинение.
Новости
Суд признал ФБК и штабы Навального экстремистскими организациями
Заседание проходило в закрытом режиме из-за наличия в деле материалов с «государственной тайной».
Популярное за три дня
Наука
Учёные достали крошечных червей из вечной мерзлоты в Сибири. Они пролежали там 24 тысячи лет и ожили, когда оттаяли
Черви даже способны к размножению.
Истории
Неэффективный менеджмент: почему труд заключённых в сталинском СССР принёс убытки и разочарование
Вместо самоокупаемости ГУЛАГ провоцировал растраты, ошибки и войны заключённых.
Новости
Фильм «Добро пожаловать в Чечню» получил премию BAFTA
Картина рассказывает о попытках геев и лесбиянок уехать из Чечни.
Комментарии
null