Bezpečnostní experti tvrdí, že odhalili „novou třídu“ zranitelností, které by útočníkům mohly umožnit obejít bezpečnostní ochranu Applu v iOS a macOS a získat přístup k citlivým datům uživatelů. Výzkumné centrum společnosti Trellix tento týden zveřejnilo podrobnosti o zranitelnostech souvisejících s úrovněmi oprávnění. To znamená, že umožňují někomu získat vyšší úroveň přístupu k systému ovlivňující jak iPhony, tak Macy. Trellix varoval, že třída chyb, které se pohybují od střední až po vysokou závažnost, by mohla, pakliže by nebyla opravena, umožnit škodlivým aplikacím uniknout z jejich ochranného „sandboxu“ a získat přístup k citlivým informacím na něčím zařízení, včetně zpráv, údajů o poloze, historii hovorů a fotek.
Zjištění Trellixu navazují na dřívější výzkum společností Google a Citizen Lab, které v roce 2021 objevily nový zero-day exploit tedy program či sekvenci příkazů, které využívají programátorskou chybu, nazvaný ForcedEntry, který zneužil izraelský výrobce spywaru NSO Group ke vzdálenému a tajnému nabourání se do iPhonů. Apple následně posílil bezpečnostní ochrany zařízení přidáním nového podepisování kódu, které kryptograficky ověřuje, že software zařízení je důvěryhodný a nebyl upraven. Trellix ale tento týden uvedl, že opatření, která Apple zavedl, by nemusela být dostatečná, aby zabránila podobným útokům. Zranitelnosti, které tým odhalil by mohly teoreticky vystavit postižená zařízení Apple široké škále útoků a usnadnit neoprávněný přístup k citlivým údajům. Tyto chyby v podstatě umožňují útočníkovi, který operuje se základními funkcemi na macOS nebo iOS, získat mnohem vyšší oprávnění.
Apple nedostatky, které Trellix našel, opravil ve svých aktualizacích softwaru macOS 13.2 a iOS 16.3. Ostatně, je známo, že si na bezpečnosti svých operačních systémů velice zakládá a má zásadní zájem udržet si dobré bezpečnostní postavení. Zároveň však je tento typ bezpečnostního ohrožení jedním z těch, kterým bude muset Apple věnovat zvláštní pozornost.A jak se může běžný uživatel vyvarovat problémů? Proti těmto typům hrozeb se nelze v podstatě bránit jinak, než udržovat svá zařízení aktualizovaná.
mlčet ⛔️🛑❌
psát příspěvky o obcházení ochrany a zaujmout tak hackery ✅✳️✅✅☑️