Конференция по цифровой безопасности RSA прошла в Сан-Франциско и принесла с собой неприятную новость. Apple стала настоящей «антизвездой» этого мероприятия: её продукты не так хорошо защищены, как принято считать.
В презентации компании Skycure, занимающейся безопасностью мобильных устройств, её главный инженер Яир Амит и CEO Ади Шарабани предоставили подробные данные об уязвимости, которую специалисты компании недавно обнаружили в iOS 8.
Яир Амит: Однажды во время исследований для демонстрации сетевой атаки мы приобрели новый роутер. После его настройки для функционирования в особом режиме и подключения к нему гаджетов, мы с нашей командой увидели, как некоторые приложения внезапно вылетают. Вскоре другие люди тоже стали замечать вылеты. Довольно быстро мы поняли, что эта ошибка воспроизводится только на iOS.
Насколько серьёзна эта проблема
Skycure копнули глубже и поняли, что это больше, чем просто вопрос качества ПО. Компания проанализировала случаи вылетов приложений и нашла источник проблемы. Ошибку удавалось воспроизвести в приложениях, которые используют при обмене данными протокол безопасности SSL: их можно было заставить «вылететь», просто сгенерировав особый SSL-сертификат. О проблеме сообщили в Apple.
Яир Амит: мы быстро написали скрипт, который использовал обнаруженную нами уязвимость по всей сети. SSL — это лучшее, что можно использовать для безопасности передачи данных, и почти все приложения из App Store его используют, поэтому возможностей для атаки оказалось очень много. Мы понимали, что любая задержка в выпуске патчей для этой уязвимости может нанести сильный удар бизнесу, ведь организованная атака на определённые сервисы приведёт к большим финансовым потерям.
Исследование Skycure показало, что уязвимость с тем же успехом действует не только в отдельных приложениях, но и на iOS в целом.
Яир Амит: при интенсивном использовании устройства, подверженного атаке, операционная система также вылетает.
Более того, команде Skycure удалось создать условия, при которых устройства отправлялись в бесконечный цикл перезагрузки, и становились совершенно непригодными к использованию.
Сложный для Apple месяц
Ситуацию прокомментировал Лэйн Темз, специалист по безопасности Tripwire – компании, занимающейся продвинутой защитой от подобных угроз:
Риски, связанные с этой уязвимостью, касаются мобильных устройств, а iOS-устройства легко подключаются к небезопасным Wi-Fi-сетям при минимальном контроле со стороны пользователя. Физически обойти или покинуть зону действия точки доступа Wi-Fi — не самый изящный способ избежать последствий этой уязвимости, но возможно, единственный.
Крейг Янг, другой специалист по безопасности Tripwire, считает, что апрель стал «месяцем уязвимостей» для Apple. К примеру, две недели назад представители компании Евгения Касперского рассказали, что специально построенный IP-пакет может послужить причиной вылетов различных версий iOS и OS X.
Однако не стоит беспокоиться и раньше времени бить тревогу, подыскивая альтернативы любимой ОС. Проблемы iOS — наименьшие на мобильном рынке, и не идут ни в какое сравнение с тем, что творится у конкурентов.
[cio-today]
7 комментариев
Форум →Отстой какой-то..
Без джейлбрека жизнь айфона была бы ошибкой:))
Вот тут нормальная статья, на других ресурсах была неполная, тут все по полкам объяснили,
да и молодцы что нашли, в iOS 8.4 подправят данное дело, еще одна уязвимость найдена
Лучше бы бутром А5+ стал бы жертвой эксплоита. Вот тогда бы было круто
Почему нельзя просто вырубить вафлю на айфоне?
Skycure – красавцы!)))
Safari, кстати, до сих пор уязвим к POODLE (SSLv3-уязвимость типа man-in-the-middle) – только что проверил на iOS 8.3
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как при работе на Mac зафиксировать своё внимание на одном приложении
Как добавить шагомер на экран блокировки iPhone
Можно ли использовать Apple Pencil на iPhone?
Как экспортировать пароли из Chrome в стороннее приложение
Как быстро сканировать QR-коды на iPhone?
Как перезагрузить любые Apple Watch. Есть 2 рабочих способа
Как изменить скорость видео на iPhone
Как загрузить музыку на iPhone с Mac?