`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Юрій Власюк

Безпека та конфіденційність Apple у 2023 році. Підсумки року

+22
голоса

Минулий рік був напруженим для системи безпеки Apple: зʼявилося більше шкідливого програмного забезпечення, більше вразливостей, було більше спроб обійти засоби захисту, вбудовані в macOS, iOS та iPadOS.

Крім того, стороннє програмне забезпечення, що використовується на платформах Apple, теж схильне до вразливостей і порушень, що робить вкрай важливим постійне оновлення безпеки як MacOS, так і самого ПЗ.

У 2023 р. низка вразливостей “нульового дня” змусила Apple випустити екстрені оновлення системи безпеки, включаючи перші оновлення “Швидкого реагування на загрози безпеці“. Також компанія запровадила нові функції, які допоможуть забезпечити конфіденційність і безпеку в macOS, iOS та iPadOS.

А тепер трошки детальніше про все.

Січень

 
Браузеру Safari від Apple виповнюється 20 років

У минулому січні компанія Apple відсвяткувала 20-ту річницю Safari. Оскільки веб-браузер є платформою для значної частини взаємодії з Інтернетом, компанія постійно додає функції для забезпечення безпеки та конфіденційності Safari. Існує велика конкуренція, але Safari є чудовим вибором для користувачів пристроїв Apple. Будучи другим за популярністю браузером у світі, Safari є основною мішенню для кіберзлочинців.

Оновлення безпеки Apple (і їх відсутність для Apple Watch Series 3)
 
Протягом 2023 року Apple випустила десятки оновлень безпеки для своїх операційних систем і програмного забезпечення, а в січні навіть випустила мінімальні патчі для десятирічних iPhone і iPad під управлінням iOS 12. Однак компанія забула виправити вразливості в безпеці, які вплинули на Apple Watch Series 3, що поставило під загрозу користувачів цього пристрою. Компанія продавала нові пристрої в основному розділі свого магазину ще у вересні 2022 року і продовжувала продавати відновлені пристрої до березня 2023 року.

Apple додала підтримку апаратних ключів безпеки

У січні 2023 року Apple додала до своїх операційних систем функцію, яка дозволяє користувачам захищати свої облікові записи Apple ID за допомогою апаратних ключів безпеки, які можуть працювати через USB, Bluetooth або NFC. Це не дозволяє хакерам змінити пароль Apple ID без цього апаратного ключа. Такий засіб захисту дуже надійний, але він передбачає певні труднощі для користувачів, тому цю технологію варто застосовувати лише тим, чиї облікові записи перебувають у зоні ризику.

Лютий

 
Twitter робить 2FA на основі SMS лише платною функцією

Twitter (тепер X) оголосив, що компанія відключає двофакторну автентифікацію (2FA) за допомогою SMS-повідомлень для всіх користувачів, які не платять за обліковий запис Twitter Blue (X Premium), який коштує щонайменше $7 на місяць. Хоча надсилання кодів двофакторної автентифікації через SMS за своєю суттю є небезпечним, це все ж краще рішення, ніж взагалі не використовувати 2FA, якщо з якихось причин користувачі не можуть використовувати інші варіанти аутентифікації.

Двофакторну автентифікацію в Twitter/X можна налаштувати за допомогою брелока Apple Keychain і додатків-автентифікаторів без необхідності платити за X Premium.

(Пізніше X представила план Basic за $3 на місяць, який включає в себе 2FA на основі SMS без синього значка “підтверджено”).

Apple запустила розширений захист даних для iCloud

Також у лютому Apple запустила функцію Advanced Data Protection для iCloud, що забезпечує користувачам “найвищий рівень безпеки хмарних даних. Це надає користувачам можливість захистити переважну більшість своїх конфіденційних даних в iCloud за допомогою наскрізного шифрування, щоб їх можна було розшифрувати лише на довірених пристроях”. Однак ця функція має певні обмеження, і вона не рекомендована для всіх.

Березень

 
Фішингові листи використовують інструменти штучного інтелекту, щоб виглядати легітимними

Фішинг – одна з головних загроз для користувачів, і ми вже давно попереджаємо людей про шкідливі електронні листи. З появою інструментів штучного інтелекту, таких як ChatGPT, одна з характерних ознак фішингових листів, а саме погана граматика та орфографія, стала менш поширеною.

Apple нарешті припинила продаж вразливого Apple Watch Series 3

Вище згадувалось про те, що Apple не випускала оновлення безпеки для Apple Watch Series 3, які припинила продавати (нові) у вересні 2022 року. Але компанія продовжувала продавати відновлені моделі цього годинника до березня 2023 року, через вісім місяців після того, як версія watchOS, яку він підтримує, отримала останнє оновлення безпеки. Вкрай небезпечно продавати пристрої, які не можуть отримати виправлення безпеки, і так само небезпечно купувати пристрої, які наближаються до кінця свого життя.

Пас-ключі поступово набувають популярності

Пас-ключі – це нова технологія, яка (ймовірно) з часом замінить паролі. З ними більше не потрібно запам’ятовувати надійні паролі або створювати занадто прості, але легкі для запам’ятовування паролі. Пас-ключі використовують біометричну автентифікацію на ваших пристроях, і їх неможливо підробити або зламати. Підтримка цієї технології почала впроваджуватися на низці веб-сайтів і сервісів на початку 2023 року, а компанія Apple також додала підтримку паролів до Apple ID.

Квітень

 
Шахраї все частіше використовують легальні сервіси для надсилання фальшивих рахунків

Як вже зазначалося, фішинг є однією з головних загроз для користувачів сьогодні. Поширюється нова тривожна тенденція: фішинг використовує надійне програмне забезпечення онлайн-бухгалтерії для створення фальшивих рахунків, у тому числі для відомих сервісів, таких як Best Buy’s Geek Squad. Багато з них надсилаються програмним забезпеченням від Intuit, таким як QuickBooks, і компанія не виявляє особливого інтересу до їх запобігання.

Google Chrome має дві вразливості нульового дня

Цього року у веб-браузері Google Chrome було виявлено кілька вразливостей нульового дня, в тому числі дві менш ніж за тиждень у квітні. Але вони впливають не лише на Chrome: інші браузери, які використовують движок Chromium, також потребують оновлень. Якщо ви використовуєте один з цих браузерів, вам необхідно регулярно оновлювати його. Ці уразливості також впливають на додатки, що використовують фреймворк Electron, тому переконайтеся, що ці додатки оновлені. Загалом протягом року було виявлено вісім уразливостей нульового дня, які вплинули на Chrome та рушій Chromium.

Травень

 
Apple випустила перші в історії патчі швидкого реагування на загрози безпеці

Для нових операційних систем Apple 2022 року компанія розробила оновлення, які вона називає “швидким реагуванням на загрози безпеці”. Ці оновлення призначені для усунення вразливостей “нульового дня”, які потрібно виправити якомога швидше, не чекаючи більш загальних оновлень для macOS, iOS та iPadOS. У травні Apple випустила своє перше оновлення швидкого реагування на загрози безпеці, а пізніше в цьому році випустила інші оновлення швидкого реагування на загрози безпеці.

Intego випустила інструкцію, як уникати загроз від старих операційних систем Apple

Apple випускає виправлення безпеки для поточної та попередніх версій своїх операційних систем, але старіші ОС можуть не отримувати оновлення, що робить їх небезпечними. Вище згадувалося, як постачалися відновлені Apple Watch Series 3 задовго до того, як пристрій перестав отримувати оновлення. Оскільки Apple та роздрібні продавці продають відновлені моделі iPhone, з’ясувалося, як довго можна безпечно купувати старі iPhone. У статті Intego “Коли старий iPhone стає небезпечним для використання?” даються детальні поради щодо того, скільки років Apple зазвичай підтримує iPhone з оновленнями безпеки. Іноді бувають винятки – наприклад, згадане вище оновлення в січні, яке виправило вразливості на пристроях десятирічної давності, – але вони трапляються рідко.

Червень

 
Apple спрощує отримання та встановлення бета-версій своїх ОС

Apple вже давно пропонує бета-версії свого програмного забезпечення користувачам з акаунтами розробників, які наразі коштують 99 доларів на рік. У 2022 році було вирішено дозволити будь-кому, хто хоче ризикнути, запустити бета-версію програмного забезпечення на своїх пристроях. Зробити це легко, але не без потенційних ризиків, особливо щодо даних на пристроях.

Apple анонсувала macOS Sonoma, iOS 17 та багато іншого на WWDC

На Всесвітній конференції для розробників у червні Apple представила свої майбутні операційні системи, які були випущені восени: iOS 17, iPadOS 17 та macOS Sonoma. Як й інші щорічні анонси, вони містили нові функції безпеки та конфіденційності, такі як покращений приватний перегляд у Safari та спільний доступ до паролів і ключів. Також було багато інших покращень безпеки та конфіденційності, таких як режим блокування та профілі Safari, щоб ви могли відокремити робочий браузер від особистого браузера.

Apple презентувала Apple Vision Pro на WWDC

Компанія також представила світу Apple Vision Pro, нову гарнітуру доповненої і віртуальної реальності (AR/VR), яка дебютує на початку 2024 року. Починаючи з $3500, важко уявити, що модель першого покоління отримає широке розповсюдження. Тим не менш, буде цікаво поспостерігати за розвитком продукту, якщо Apple продовжить випускати оновлені моделі, а не зречеться його взагалі.

Поки що незрозуміло, як Vision Pro вплине на безпеку і конфіденційність. Імовірно, оскільки операційна система дуже схожа на інші продукти Apple, вона буде вразливою до багатьох з тих самих експлойтів, які використовуються проти iPhone, iPad і Mac, і, ймовірно, отримуватиме оновлення безпеки так само часто. І, звичайно, користувачам потрібно буде бути уважними, щоб не завантажувати шахрайські або потенційно шкідливі програми з App Store.

Липень

 
Запуск Threads; швидко імітується в App Store

На початку липня компанія Meta (власник Facebook та Instagram) запустила ще одну соціальну мережу. Вона отримала назву Threads і мала стати прямим конкурентом Twitter/X. Примітно, що нова мережа ще не була доступна в ЄС.

Невдовзі після запуску в App Store з’явився підроблений додаток Threads. Він був доступний в ЄС і пропонував надзвичайно дорогі покупки в додатку. Після громадського резонансу Apple видалила додаток з App Store.

У липні також був запущений WormGPT, чат-бот, схожий на ChatGPT, спеціально розроблений для використання кіберзлочинцями.

Серпень

 
Виявлено нову вразливість спекулятивного виконання, що впливає на комп’ютери Intel Mac – Downfall

Ще в січні 2018 року були виявлені вразливості Spectre та Meltdown – вразливості “спекулятивного виконання” в процесорах, які могли бути використані зловмисниками. У серпні 2023 року дослідник безпеки представив інформацію про схожу вразливість під назвою Downfall. Ця вразливість впливає лише на процесори Intel, тоді як всі нові комп’ютери Mac мають (непошкоджені) кремнієві чіпи Apple. Але старіші Macintosh потенційно вразливі.

Вересень

 
В Apple App Store з’явилися шахрайські та небезпечні додатки

Apple вже давно заявляє про безпеку купівлі додатків у своїх магазинах App Store, але шахрайські додатки в App Store стали постійною темою цього року. Багато з них – це кредитні програми, доступні в Індії та інших країнах Азії, але це підкреслює, наскільки мало Apple робить для того, щоб відсіяти шахрайські програми в своїх магазинах App Store.

Свого часу Intego наголошувала, що потрібно з великою обережністю ставитися до завантаження будь-яких додатків, навіть з магазинів App Store, які курують працівники Apple. Це стане ще більшою проблемою, якщо Apple буде змушена дозволити стороннім магазинам продавати додатки для iPhone та iPad.

Режим блокування тепер доступний у watchOS 10

У вересні в watchOS 10 вперше з’явився режим Lockdown Mode для Apple Watch, який став частиною watchOS 10. Тепер Apple Watch має такий самий режим підвищеної безпеки, який раніше підтримувався в macOS, iOS та iPadOS.

Режим блокування автоматично вмикається для будь-якого Apple Watch, підключеного до iPhone з увімкненим режимом блокування.

Жовтень

 
Старі Mac можна оновити (неофіційно) до macOS Sonoma

Як ми згадувалося вище, деякі старі Mac не отримують оновлення безпеки. Вже багато писалося про те, як за допомогою стороннього програмного забезпечення можна встановити найновішу операційну систему Apple – в даному випадку, macOS Sonoma – на деякі дуже старі комп’ютери Mac, щоб вони продовжували отримувати патчі безпеки. Це проект вихідного дня, хоча він не такий вже й складний, завдяки спільноті користувачів, які хочуть, щоб їхні старі комп’ютери працювали з найновішою ОС.

Листопад

 
В Apple App Store та Google Play Store з’явилися фейкові додатки для чат-ботів xAI (Grok)

Не лише Apple розміщує фальшиві додатки в своїх магазинах додатків: І Google, і Apple були помічені в розміщенні фальшивих додатків для штучного інтелекту Grok Ілона Маска ще до того, як він був випущений. Через кілька днів після того, як ці програми були виявлені, Apple видалила їх, а Google – ні.

Грудень

 
Шахрайські електронні листи погрожують операторам сайтів і вимагають біткоїни

Було виявлено новий тип шахрайських електронних листів, які погрожують притягненням до відповідальності за несанкціоноване використання зображень на веб-сайтах. Лист написаний досить добре і звучить як справжній; люди, які керують веб-сайтами з великою кількістю зображень, можуть бути обмануті. Однак, впадає в око те, що відправник просить 500 доларів у криптовалюті. Було проведено дослідження і виявилено, що, оскільки ви можете отримати доступ до всіх транзакцій, записаних через блокчейн (хоча вони є анонімними), адреси Bitcoin та Ethereum були зареєстровані як шахрайські.

Apple продовжує постачати небезпечні інструменти з відкритим вихідним кодом в macOS

Apple не завжди відслідковує оновлення деяких Unix-інструментів, що входять до складу macOS, два з яких мають критичні вразливості, які використовуються в дикій природі. Дослідження Intego показало, що це відбувалося протягом певного часу, коли компанія не оновлювала такі поширені інструменти, як curl, LibreSSL, zlib та nghttp2. У минулому Apple також продовжувала постачати вразливу версію Python в macOS протягом майже двох років після того, як вона востаннє була виправлена. Ці інструменти з відкритим вихідним кодом можуть бути використані будь-яким додатком, що працює на macOS, і вразливості в цих інструментах повинні бути виправлені якнайшвидше.

Про DCIM у забезпеченні успішної роботи ІТ-директора

+22
голоса

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT