Мобильная операционная система iOS 12, финальная версия которой стала доступна 17 сентября, включает патчи нескольких серьезных уязвимостей мобильных устройств Apple, пишет Threatpost.
Разработчики устранили уязвимости, которые давали злоумышленникам возможность несанкционированного доступа к данным, позволяли осуществлять перехват трафика, а также выполнять сторонний код. Традиционно Apple не раскрывает детали об исправленных ошибках, публикуя лишь краткую информацию по сути проблемы.
Так, известно, что уязвимость CVE-2018-4322 позволяла установленным на устройстве приложениям узнать идентификатор пользовательской учетной записи (persistent account identifier).
Сразу несколько уязвимостей позволяли прочитать записанные в память данные из-за некорректной валидации. Такие бреши были обнаружены в ядре операционной системы, модуле Wi-Fi и компоненте IOMobileFrameBuffer, отвечающем за ряд специфических задач по работе с видео.
Две серьезные уязвимости были обнаружены в Bluetooth-модуле. Одна из них открывала возможность для исполнения стороннего кода, вторая позволяла осуществлять перехват данных при беспроводном обмене между устройствами.
В части приватности Apple устранила возможность несанкционированного доступа к камере, просмотра стертых сообщений и заметок пользователя. Еще один баг позволял злоумышленнику подделывать запросы на ввод пароля в iTunes Store.
Apple также прекратила использование криптографического алгоритма RC4. Ранее в нем была обнаружена уязвимость, позволявшая расшифровать защищенные данные.
Помимо исправлений ошибок, в iOS 12 появился набор новых функций, направленных на повышение безопасности. Теперь владельцы гаджетов Apple могут автоматически создавать устойчивые пароли, регулировать настройки онлайн-трекинга в браузере Safari, а также блокировать несанкционированные подключения USB-аксессуаров.
Как отмечают разработчики, интеллектуальные подсказки и другие продвинутые функции новой iOS работают за счет собственных мощностей устройства. Это позволяет не отправлять пользовательские данные на сервера компании, что также повышает их защищенность.
Однако некоторые новые возможности iOS 12 вызвали неоднозначную оценку как у экспертов, так и у пользователей. В частности, теперь операционная система может автоматически проставлять SMS-коды подтверждения при онлайн-шопинге. Как отмечают эксперты по кибербезопасности, это создает целый ряд различных рисков — от подмены суммы платежа до перехвата денежных средств на пути от покупателя к продавцу.
Предложения об организации «коммерческих» DDoS-атак, аренде бот-сетей, продаже или аренде программных кодов вредоносного ПО регулярно появляются в Даркнете
Протокол DNS-over-HTTPS включен в браузерах Google Chrome и Firefox и позволяет обходить все существующие системы фильтрации и блокировки запрещенных сайтов
Предложения об организации «коммерческих» DDoS-атак, аренде бот-сетей, продаже или аренде программных кодов вредоносного ПО регулярно появляются в Даркнете
Протокол DNS-over-HTTPS включен в браузерах Google Chrome и Firefox и позволяет обходить все существующие системы фильтрации и блокировки запрещенных сайтов
