Уязвимости в iOS — не мифическая проблема, а реальная угроза. Каждый год исследователи находят новые баги разной степени серьезности.
Одни уязвимости дают возможность захватить полный контроль над устройством, другие открывают дорогу к личным данным владельцев iPhone, позволяя хакерам обойти защиту, в которую мы привыкли верить.
Сегодня разберем несколько громких уязвимостей в iOS, всплывших на поверхность в 2025 году.
КРАТКО◦ Ошибка при обработке ссылок в iCloud Link
◦ Приложение Passwords отправляло пользователей на фишинговые сайты
◦ NICKNAME-уязвимость в iMessage
◦ Bluetooth выдавал данные iPhone без разрешения владельца
◦ AirBorne: набор критических багов в AirPlay
◦ Уязвимый WebKit «подставил» всю экосистему
◦ Как защититься
Баг в обработчике DNG-изображений
▪️ Последствия: уязвимость позволяла красть данные и захватывать полный контроль над устройством.
▪️ Обнаружена: в августе 2025 года.
▪️ Исправлена: в iOS 18.6.2 и новее.
Проблема заключалась в обработчике DNG-изображений (компонент Image I/O), в котором парсер некорректно сопоставлял метаданные формата с фактическим потоком JPEG-Lossless. Из-за этого декодер мог записать в буфер больше данных, чем было выделено, что приводило к повреждению памяти.
В худшем случае, с этой уязвимостью можно было выполнить любой код на смартфоне жертвы. От злоумышленника требовалось лишь отправить специально сформированное изображение на устройство. Пользователю даже не нужно было его скачивать или открывать.
iOS автоматически использует ImageIO для парсинга превью изображений, а значит, и запускает вредоносные инструкции. Это относит проблему к классу 0-click-уязвимостей.
Ошибка при обработке ссылок в iCloud Link
▪️ Последствия: на смартфоны без согласия и взаимодействия с владельцем устанавливалось шпионское вредоносное ПО.
▪️ Обнаружена: Apple рассказала о проблеме в июне 2025 года, почти через три месяца после фактического патча уязвимости.
▪️ Исправлена: в феврале 2025 года в iOS 18.3.1.
Еще одна 0-click-уязвимость, на этот раз связанная с iCloud Link. Именно ее, как предполагают исследователи, использовали производители шпионского ПО Paragon для слежки за смартфонами журналистов, политических активистов и представителей других групп граждан в интересах заказчиков Paragon.
Проблема заключалась в том, что парсер медиаконтента неверно обрабатывал специально сформированные данные. Оформив нужным образом ссылки на медиаконтент, можно было добиться нарушения логики обработки, переполнения памяти и неопределенного состояния компонента системы.
Это позволяло запускать на смартфоне вредоносный код или заставлять систему выполнять нежелательные действия, такие как установка шпионского ПО.
Как и в предыдущем случае, атака не требовала от пользователя никаких действий. Злоумышленникам было достаточно организовать рассылку вредоносных URL-адресов на смартфоны. iCloud Link самостоятельно обрабатывал содержимое и тем самым активировал уязвимость.
Приложение Пароли отправляло пользователей на фишинговые сайты
▪️ Последствия: пользователи, сами того не зная, становились жертвами фишинговых атак и теряли доступы к аккаунтам, логины и пароли которых хранились в Паролях на iPhone.
▪️ Обнаружена: март 2025 года.
▪️ Исправлена: в iOS 18.2.
В марте 2025 года во встроенном приложении Passwords исследователи обнаружили уязвимость, касающуюся логики работы с HTTP-запросами. Как оказалось, приложение загружало иконки и фидбэк от сайтов по незашифрованному HTTP-каналу и по умолчанию открывало страницы сброса пароля через HTTP, а не через HTTPS.
Используя этот баг, хакер, находящийся в одной сетью с потенциальной жертвой, мог подложить фейковую иконку и подменить ссылку на страницу сброса пароля. В результате пользователь, сам того не подозревая, попадал на фишинговый сайт, где передавал злоумышленникам конфиденциальные данные.
NICKNAME-уязвимость в iMessage
▪️ Последствия: открывался путь для дальнейшей компрометации устройства. Например, украсть данные, установить желаемое вредоносное ПО или следить за владельцем iPhone.
▪️ Обнаружена: специалисты фиксировали атаки с 2024 года, но широкой общественности о проблеме стало известно только в начале 2025 года.
▪️ Исправлена: в iOS 18.3.1.
До выхода iOS 18.3.1 функция Nickname Update в iMessage позволяла злоумышленникам запускать вредоносный код на устройствах.
В стандартном сценарии Nickname Update (при включенном параметре Share Name and Photo) позволяет отправлять свой никнейм и фото другим пользователям. Однако злоумышленники придумали этому вполне легитимному процессу вредоносное применение.
Если отправлять эти данные слишком быстро, возникает «состояние гонки»: когда два процесса одновременно пишут и читают один и тот же участок памяти в непредсказуемой последовательности.
Состояние гонки позволяло выполнять вредоносный код на iPhone жертвы. Во время гонки злоумышленники с помощью обновления никнейма подставляли нужные им данные, после чего второй процесс читал эти данные и запускал вредоносный код.
Bluetooth выдавал данные iPhone без разрешения владельца
▪️ Последствия: приложение получало информацию о BLE-устройствах поблизости без запроса разрешения у владельцев этих устройств.
▪️ Обнаружена: в мае 2025 года. В том же месяце начали выходить статьи об эксплуатации уязвимости среди «белых» хакеров.
▪️ Исправлена: в iOS 18.5.
В iOS 18 Apple решила обновить интерфейс запроса разрешения на использование Bluetooth LE. Теперь, когда приложение просит доступ к Bluetooth, система показывает мини-карту с находящимися поблизости устройствами.
Баг заключался в том, что приложение могло получить данные до того, как пользователь давал свое согласие. Служба Bluetoothd отправляла их для формирования диалога перед тем, как пользователь подтвердит доступ.
Иными словами, уже на этапе показа мини-карты и запроса приложение получало сведения обо всех BLE-устройствах поблизости: RSSI, имена, метки и так далее. Это позволяло тайно собирать информацию об устройствах рядом даже без разрешения владельца.
При определенных условиях хакерам даже удавалось подменить содержимое окна разрешения. Например, можно было скрыть список устройств или подменить текст, чтобы запрос выглядел безобидным и заманчивым.
AirBorne: набор критических багов в AirPlay
▪️ Последствия: уязвимость позволяла массово взламывать все устройства с AirPlay в одной Wi-Fi-сети или в рамках P2P-соединения для дальнейшего шпионажа или кражи данных.
▪️ Обнаружена: в апреле 2025 года.
▪️ Исправлена: с версии iOS 18.4 обеспечена полная защита.
Это уже не одна, а целая серия из 23 уязвимостей в протоколе AirPlay и SDK, раскрытая весной 2025 года. Среди них есть уже упомянутый класс 0-click-багов и возможность запуска вредоносного кода на устройствах.
Как и в предыдущих случаях, уязвимости можно было эксплуатировать без участия жертвы через P2P-соединения или публичные WiFi-сети. AirPlay, находясь в публичных сетях, принимал пакеты с описанием сеансов, имен устройств и прочими параметрами.
Эти входящие данные не проверялись на корректность и длину. Поэтому специально подготовленный пакет данных мог заставить AirPlay записать информацию в нужное хакеру место в системе.
Таким образом можно было добиться как простого сбоя в работе устройства, так и захвата полного контроля над ним.
Уязвимый WebKit «подставил» всю экосистему
▪️ Последствия: уязвимость позволяла выйти за пределы песочницы для установки вредоносного ПО и кражи конфиденциальных данных, а также дальнейшей компрометации устройства.
▪️ Обнаружена: в начале марта 2025 года.
▪️ Исправлена: в iOS 18.3.2.
WebKit — движок, который рендерит веб-страницы в Safari и многих других встроенных браузерных вью в приложениях. В нем было найдено несколько критических уязвимостей, в том числе 0-day. Так называются ошибки, которые использовались злоумышленниками до выхода исправлений.
Чтобы эксплоит сработал, пользователю достаточно было лишь открыть нужную страницу или просто включить предпросмотр присланной ссылки.
В рамках атаки хакеры отправляли в браузер специально подготовленный веб-контент, обработка которого приводила к нарушению целостности памяти процесса браузера. В некоторых случаях это позволяло даже выйти из песочницы (sandbox), чтобы запустить на устройстве вредоносный код.
В конечном итоге это позволяло выполнять очень широкий спектр вредоносных действий, начиная с установки вредоносных программ и заканчивая масштабной слежкой за пользователем.
Как защититься
Увы, но от всех перечисленных выше угроз вас не спасет ни один антивирус на смартфоне. В остальном вы можете существенно снизить риски взлома через ранее обнаруженные уязвимости, если будете соблюдать несколько простых правил:
▪️ Своевременно обновляйте iOS и приложения. Официальные патчи закрывают известные и актуальные векторы атак.
▪️ Избегайте публичных Wi-Fi, используйте мобильный интернет или доверенные сети.
▪️ Находясь в публичных сетях отключайте AirPlay, Bluetooth и авто-предпросмотр ссылок и медиа в почте и мессенджерах.
▪️ Не открывайте подозрительные ссылки и вложения. Даже предпросмотр может запустить эксплуатацию уязвимостей.
В целом, от неизвестных угроз защититься практически невозможно. Это всегда гонка между хакерами, экспертами по безопасности и командой разработчиков Apple. В этом плане между iOS и Android совсем не так много отличий, чем кажется на первый взгляд. Потому что перед угрозой 0-day уязвимости все они равны.
🙈 Нет комментариев