К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Баги Apple: как проверить безопасность iPhone и Mac

Фото Christian Hartmann / Reuters
Фото Christian Hartmann / Reuters
Пользователи Apple привыкли, что для их устройств вредоносных программ на порядок меньше, чем для Windows, поэтому забывают обновлять ПО и следить за своими устройствами

Итальянский блог Mobile World обнаружил очередную ошибку в работе iPhone и macOS: получение лигатуры из символов индийского языка блокирует мессенджер, в котором он был переслан. С начала 2018 года это уже как минимум третья уязвимость в iOS 11 на продуктах Apple, о которой стало известно. Рассказываем, что угрожает вашим гаджетам и как избежать неприятностей.

Опасная «телуга»

Вышеупомянутая ошибка ОС, позволяющая отключить iPhone, заключается в том, что получение лигатуры из символов индийского языка телугу блокирует в iPhone такие приложения, как iMessage, Facebook Messenger и WhatsApp. Знак также влияет на работу Safari и встроенное приложение «Сообщения» на macOS и Apple Watch, а безопасными остались только Telegram и Skype.

Если быть точным, опасный символ является лигатурой (набором) из знаков среднеюжно-дравидийского языка, на котором в Индии говорят около 70 млн человек (примерно 5% от всего населения). Если символ загружается и отображается в приложении WhatsApp, Twitter и т. д., соответствующее приложение будет аварийно завершено и будет закрываться каждый раз при попытке запуска.

 

Что делать: Mobile World нашли пока что единственный способ восстановить работу приложений — их переустановка или установка бета-версий iOS или macOS. Apple пообещала, что ошибка iPhone будет исправлена ​​весной в iOS 11.3, однако The Verge предполагает, что эта ошибка заставит Apple поторопиться, и в ближайшее время мы увидим обновление iOS 11.2.6.

СhaiOS-баг, запускающий перезагрузку iPhone

17 января пользователь Twitter Абрахам Масри обнаружил chaiOS-баг. В своем микроблоге он опубликовал ссылку, переход по которой провоцировал зависание iPhone, дальнейшую перезагрузку системы и блокировку работы мессенджеров. В комментарии Масри просил не использовать баг во вред кому-то.

 

Проблема возникала из-за перехода на страницу с большим количеством UTF-символов по ссылке в полученном сообщении. При получении ссылки на страницу, мессенджеры iPhone пытались сгенерировать для нее превью, но так как страница содержала большое количество символов, система не могла справиться с этой задачей и зависала. Как выяснилось, страница также могла внести сбой в работу Safari и некоторых других интернет-браузеров.

Что делать: В iOS 11.2.5 баг был устранен, однако если у вас стоят более ранние версии операционной системы, то данная уязвимость еще существует. Устранить неполадку можно, открыв в Safari ссылку и принять опцию «перейти в сообщения». После этого мессенджеры должны заработать и можно будет удалить чат с вредоносным сообщением.

Сокращение скорости процессора у iPhone 6S и iPhone 7

Обладатели iPhone 6, 6S, 7 и SE могли заметить, что после установки обновленных версий iOS и приложений смартфоны начинают работать медленнее и чаще перезагружаются, потому что батарея не может поддерживать максимальную производительность телефона. Это вызвало обвинения со стороны пользователей iPhone в том, что компания подталкивает потребителей к преждевременным обновлениям через запланированное устаревание.

 

В начале февраля Apple заявила, что с обновлением iOS до версии 11.3 обладатели iPhone 8, 8 Plus и X больше не столкнутся с такой проблемой: «Модели iPhone 8, iPhone 8 Plus и iPhone X включают обновления, позволяющие использовать более совершенную систему управления производительностью телефонов, которая позволяет iOS избегать неожиданных отключений», — говорится в заявлении, опубликованном на The Verge.

Что делать: В декабре 2017 года компания Apple официально признала, что батареи в этих моделях быстро устаревают, и предложила своим пользователям менять их по сниженной цене. Кстати, в России батареи в моделях iPhone 6s меняют бесплатно.

На официальном сайте Apple говорится: «Компания Apple определила, что очень небольшой процент устройств iPhone 6S может неожиданно выключаться. Эта проблема не связана с безопасностью и затрагивает только устройства, выпущенные в период с сентября по октябрь 2015 года и имеющие серийный номер в ограниченном диапазоне. Если вы столкнулись с этой проблемой, воспользуйтесь средством проверки серийных номеров ниже, чтобы узнать, подлежит ли аккумулятор вашего iPhone 6S бесплатной замене».

Права суперпользователя на macOS High Sierra

В декабре 2017 года турецкий эксперт по информационной безопасности Леми Орхан обнаружил уязвимость в системе безопасности macOS High Sierra и сообщил об этом в своем микроблоге в Twitter. >Уязвимость позволяла любому пользователю Mac получить права системного администратора и доступ к любым данным устройства, включая системные файлы, даже не вводя пароль. В опасности оказалась версия macOS 10.13.1.

Взломать систему было очень просто: для этого в разделе настроек «Пользователи и группы» необходимо было нажать на кнопку с замком, после чего открывалось окно с требованием ввести логин и пароль. В первое поле необходимо было ввести root, а второе активировать кликом, но оставить пустым, и после этого нажать Enter.

 

Apple удалось устранить ошибку менее чем через 24 часа после того, как она была обнаружена. «Безопасность — главный приоритет в каждом продукте Apple», — говорилось в сообщении Apple. — Мы очень сожалеем об этой ошибке и приносим свои извинения всем пользователям Mac. Наши клиенты заслуживают лучшего. Мы проверяем наши процессы разработки, чтобы предотвратить эту ситуацию в будущем».

Что делать: Apple обнаружила и опубликовала пошаговую инструкцию по ее устранению путем изменения пароля корневого пользователя.

Утечка загрузочного кода для iOS9

8 февраля часть исходного кода iOS была опубликована в хранилище программных кодов GitHub, однако после этого ссылка была оперативно удалена. Код, об утечке которого первым сообщил портал Motherboard, имел отношение к iBoot — модулю операционной системы iPhone, отвечающему за доверенную загрузку, то есть обеспечивающему необходимые проверки остальных модулей iOS перед их загрузкой в память телефона. Проще говоря, программе, которая запускает систему при первом включении вашего iPhone и гарантирует, что выполняемый код действителен и написан программистами Apple.

Специалист департамента анализа защищенности Digital Security Егор Салтыков подтверждает, что на GitHub был слит не весь программный код iOS 9, а только ядро или его часть. «Если код, который был украден/похищен/слит, не сильно менялся при разработке новых версий iOS, то это хороший подарок исследователям/участникам bug bounty и потенциальным злоумышленникам для создания 0day эксплоитов/новых jailbreak’ов и прочих штук-дрюк», — говорит он.

 

Несмотря на то что код с GitHub удален, он сохранился в интернете на других сайтах. Джонатан Левин, автор книг о системном программировании iOS и macOS, назвал эту «утечку самой большой в истории», с учетом того, насколько сильна защита Apple от подобных ситуаций.

Что делать: Пользователям продукции Apple эта утечка скорее всего ничем не грозит. В официальном сообщении Apple, опубликованном на TechCrunch, говорится: «Старый исходный код трехлетней давности, похоже, просочился в сеть, но безопасность наших продуктов не зависит от секретности нашего исходного кода. В наши продукты встроено множество программ и программных средств защиты».

Специалист отдела исследований безопасности мобильных приложений Positive Technologies Николай Анисеня также считает, что пользователям не нужно предпринимать каких-то специфических мер: «Но все же стоит лишний раз задуматься о том, что полагаться только на безопасность iOS нельзя. Важно самостоятельно обеспечить многоуровневую защиту своих данных. Например, настроить (где это возможно) усложненный вход в аккаунт (использовать фильтрацию по IP-адресам, двухфакторную аутентификацию); убедиться, что на сохраненных в телефоне банковских картах лежит сумма, с которой не страшно расстаться в случае чего; не хранить действительно важные данные на устройстве (совсем личные фото/видео, секретные документы, ключи шифрования и т. д.). И конечно же, следует оперативно обновлять свои устройства до последней версии ОС и ПО».

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+