{"id":1064,"title":"\u041f\u0440\u043e\u0439\u0434\u0438\u0442\u0435 \u044d\u0442\u043e\u0442 \u0442\u0435\u0441\u0442, \u043f\u043e\u043a\u0430 \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u044e \u0438\u0437 \u0435\u0434\u044b \u043d\u0435 \u0437\u0430\u043f\u0440\u0435\u0442\u0438\u043b\u0438","url":"\/redirect?component=advertising&id=1064&url=https:\/\/tjournal.ru\/special\/kaleidofood&placeBit=1&hash=f30606208ead4bb67ee3624f20be3cd7a9b9c0ae8b2bd8a40218541848752d25","isPaidAndBannersEnabled":false}

В iOS нашли критические уязвимости, позволявшие сайтам взламывать айфоны Статьи редакции

Злоумышленники могли получить сообщения, файлы и геолокацию пользователей, если те заходили на вредоносный сайт.

Исследователи по кибербезопасности Google рассказали о масштабной атаке на iOS-устройства. Из-за недостатков безопасности системы злоумышленники могли взломать любые айфоны, владельцы которых зашли на заражённый сайт.

Когда пользователь открывал страницу, хакеры получали доступ сообщениям, файлам и геолокации пользователей в реальном времени. Кроме того, они могли внедрить программный имплант, который позволял обходить систему keychain — она защищает пароли и логины пользователей на iOS и macOS.

Исследователи обратились в Apple сразу после обнаружения проблемы в феврале 2019 года. Компании дали семь дней на исправления, хотя обычно срок составляет 90 дней. Apple закрыла уязвимость 7 февраля с выпуском iOS 12.1.4 — в той же версии исправили ошибку, позволявшую прослушивать пользователей iOS через FaceTime.

Исследователи из Google рассказали, что заражённые сайты посещали «тысячи пользователей» каждую неделю. По данным Motherboard, атака могла стать «крупнейшей в истории iPhone».

Журналисты отметили, что благодаря обходу защиты keychain злоумышленники могли получить доступ к любым данным и сертификатам, хранившимся в системе, включая базы данных мессенджеров с шифрованием вроде WhatsApp и iMessage. На конечном устройстве переписка хранилась в открытом виде, поэтому хакеры могли прочитать чужие сообщения.

Как пояснили в Motherboard, атаку отличает её «беспорядочность». Обычно хакеры присылают ссылки на вредоносные сайты конкретным людям, которых хотят взломать, но в этом случае пользователям достаточно было посетить заражённый ресурс, чтобы получить имплант в системе.

Программная заплатка хакеров стиралась после каждой перезагрузки устройства из-за особенностей iOS. Но так как злоумышленники обходили защиту keychain, они могли получить доступ к ключам авторизации, которые содержал раздел: это позволяло им сохранять доступ к сервисам и аккаунтам надолго даже в случае удаления импланта.

В общей сложности исследователи Google нашли 14 уязвимостей и пять цепочек эксплоитов, которым были подвержены все устройства с 10 до 12 версии iOS. По их мнению, это значит, что злоумышленники пытались взломать пользователей на протяжении двух лет.

Byaju

Исследователи считают, что несмотря на исправление уязвимостей, в системе ещё остались недоработки безопасности, которые они не обнаружили. По их словам, злоумышленники «почти наверняка» проводили и другие атаки, которые ещё предстоит найти.

0
27 комментариев
Популярные
По порядку
Написать комментарий...
Военный меч

хакеры получали доступ к файлам
ха-ха, а сами пользователи айфона - нет

Ответить
73
Развернуть ветку
Военный меч

Злоумышленники могли получить файлы
Я на своем телефоне и так с трудом получаю эти файлы, настолько эта система закрытая, а эти блять через сайт

Ответить
17
Развернуть ветку
Военный меч

Комментарий удален по просьбе пользователя

Ответить
2
Развернуть ветку
Maksim Derkach

и создавал у друга на компе овер тыщу папок с матерными названиями

Ответить
1
Развернуть ветку
Военный меч

Комментарий удален по просьбе пользователя

Ответить
7
Развернуть ветку
Вячеслав Ширшов

Никогда такого не было и вот сейчас... (с)

Ответить
1
Развернуть ветку
Равнодушный цвет

Комментарий удален по просьбе пользователя

Ответить
11
Развернуть ветку
Tellst

Самое охуенное что я сейчас нахожусь в тундре (тут нет wi-fi), и не могу качать обновление

Ответить
0
Развернуть ветку
Призванный блик

Комментарий удален по просьбе пользователя

Ответить
12
Развернуть ветку
Военный меч

Я его уже давно вычислил, весь можжевельник мне вытоптал зараза.

Ответить
2
Развернуть ветку
Tellst

Скорее медведи , я на севере

Ответить
0
Развернуть ветку
Военный меч

А что, в айфоне до сих пор нельзя скачать обновление по мобильной сети?

Ответить
1
Развернуть ветку
Maksim Derkach

ха, там ограничение вроде было на размер. Насколько я знаю его пофиксили. Но сворачивание звонков так и не сделали тролфейсжипег

Ответить
2
Развернуть ветку
Vitaly Tarakanov

Сворачивание звонков в айфоне есть уже лет 10.

Ответить
2
Развернуть ветку
Военный меч

Сворачивание звонков в айфоне до того, как ты на него ответил. Этого нет, приходится через jb делать

Ответить
2
Развернуть ветку
Военный меч

Я до сих пор не понимаю, в чем проблема его отклонить.

Ответить
–3
Развернуть ветку
Военный меч

Комментарий удален по просьбе пользователя

Ответить
1
Развернуть ветку
Artem Shitov

Проблема в том, что звонок прерывает текущую активность. Если пишешь звук или видео, и запись может непредсказуемо прерваться из-за звонка — не очень удобно.

Ответить
0
Развернуть ветку
Valery Kirichenko

Ты путаешь обновления системы с установкой приложений. Для второго ограничения убрали, а для первого — нет.

Ответить
1
Развернуть ветку
Valery Kirichenko

Нельзя

Ответить
0
Развернуть ветку
Илья Волочков

А почему тогда в последнее время не было крупных порно-сливов? Или всё ещё впереди?

Ответить
4
Развернуть ветку
Минимальный каякер

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Evgeny Rodionov

Исследователи считают, что несмотря на исправление уязвимостей, в системе ещё остались недоработки безопасности, которые они не обнаружили. По их словам, злоумышленники «почти наверняка» проводили и другие атаки, которые ещё предстоит найти.

Философский подход…

Ответить
2
Развернуть ветку
пепси

ВЗЛОМ ЖЁПЫ

Ответить
1
Развернуть ветку
Военный меч

Исследователи считают, что несмотря на исправление уязвимостей, в системе ещё остались недоработки безопасности, которые они не обнаружили.
Капитан-капитан, улыбнитесь!

Ответить
0
Развернуть ветку
Дмитрий Григорьев

Тут на днях пререкались с одним. Говорит - была одна проблема, с аккумуляторами или что-то в этом роде, и не упомнишь теперб - решили. И всё. ВСЁ, понимаете? А тут такое. Не горюй, ябломэн, ставь минус поганому ведроиду, полегчает, точно тебе говорю. И вообще, подозрительно, наверняка в конспиративном офисе гугл всё сфальсифицировали. А излишки денег твоих, изъятые мудрой яблокомпанией, хоть и, видимо, не на безопасность потрачены, но на что-то хорошее, я уверен.

Ответить
0
Развернуть ветку
Dmitrii

А если стояло ограничение к "аккаунты" из родительского, то утекли сертификаты бы?
Я про эту статейку, советую ознакомится https://habr.com/ru/post/462271/

Ответить
0
Развернуть ветку
Читать все 27 комментариев
null