Об уязвимости Boot ROM iPhone, джейлбрейке и последствиях

Тема с уязвимостью Checkm8 в бутлоадере iPhone обрастает постепенно информацией, апдейтами и уже практически работающими джейлбрейками. Напомню, исследователь axi0mX опубликовал информацию о дыре в миллионах устройств от iPhone 4S до iPhone X.

Что нужно знать об этом в первую очередь:
– Уязвимость позволяет сделать джейлбрейк устройству — то есть снять некоторые системные ограничения на установку других приложений и получить доступ к системному разделу, модифицировать систему и устанавливать приложения мимо App Store. Теоретически эта уязвимость в будущем может позволить установить различные версии iOS на устройства.
– При этом для реализации джейлбрейка требуется физический доступ к устройству, то есть его нельзя произвести удаленно.
– Джейлбрейк “разовый”, то есть на каждом рестарте телефона его надо делать снова
– Эта уязвимость не дает возможности получить доступ к пользовательским данным, так как они зашифрованы чипом Secure Enclave (то есть TouchID/FaceID устройства) — история хоть и неприятна для репутации Apple, но прямой угрозы пользовательским данным нет. (за исключением устройств iPhone 4S/5/5c, у которых нет SEP)
– Худшее в этой всей истории то, что эту уязвимость Apple не сможет исправить, так как этот код Boot ROM аппаратно встроен в устройство.
– Устройства, в которых отсутствует эта уязвимость — все модели, начиная с прошлого года, включая iPhone XR, XS, 11 и 11 Pro. (Жду теорий заговоров о том, что Apple таким образом пытается стимулировать продажи новых устройств)
Continue reading

Изменения безопасности в iOS 13

Пока многие из вас устанавливают iOS 13 (пишут, что уже более 20% пользователей iOS-устройств переехали на новую систему), и знакомятся с новыми возможностями системы (и новыми багами), я хочу поговорить о других, менее заметных изменениях в самой системе, чем, например, темная тема. Эти изменения касаются конфиденциальности и безопасности в первую очередь пользовательской информации. Apple традиционно говорит о том, что компания старается оберегать пользовательские данные от лишних посягательств, и в целом, с переменным успехом, это демонстрирует на деле.

Как минимум, с одним из этих «подкапотных» изменений пользователи iOS 13 уже могли столкнуться. В iOS 13 теперь приложения, которые используют для своей работы Bluetooth, должны получить соглашение пользователя на это. Я думаю, что многие удивились тому, для скольких приложений требуется использование BT, и задались вопросом «а зачем?». Важно понимать, что приложения, которые воспроизводят аудио в Bluetooth-наушники, например, в доступе к самому беспроводному интерфейсу не нуждаются. Грубо говоря, такие приложения говорят системе «я хочу проиграть аудио», и уже затем система направляет звук в тот выход, которым в данный момент пользуется владелец смартфона. Поэтому когда доступ к Bluetooth просит Spotify, очевидно, что кроме воспроизведения аудио, приложение хочет что-то делать еще через Bluetooth.
Continue reading

Apple извинилась за Siri

Пару раз я уже писал про то, что голосовые помощники типа Alexa, Siri, Cortana и проч, зачастую передают записи для анализа живыми людьми, что приводит к попаданию частных деталей к этим людям. Они к тому же, часто оказываются не сотрудниками компаний, а сторонними подрядчиками. Сегодня Apple опубликовала материал, в котором извинилась за то, что не соответствовала своим же идеалам конфиденциальности, и разъяснила изменения, которые внедряет компания:

– По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
– У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
– В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Continue reading

Лаборатория Касперского, расследование ФАС, Apple и персональная информация

Вчера в новостях прошла информация о том, что Федеральная Антимонопольная Служба (ФАС) России возбудила дело в отношении Apple Inc. “в связи с действиями корпорации на рынке распространения приложений для iOS”. Дело возбуждено по заявлению Лаборатории Касперского (ЛК), и речь идет о том, что Apple отклоняла версии приложения ЛК для родительского контроля при просмотре в App Store, чем нанесла глубокую душевную травму компании. О подаче этой жалобы я писал еще в марте этого года, и вот наконец-то жернова госоргана провернулись. Честно говоря, я думал, что в рамках июньских изменений, которые внедрила Apple, ЛК могла уже и удовлетвориться, но, похоже, ЛК этого не достаточно.

Немного предистории. У ЛК и ряда других компаний есть приложения для родительского контроля, которые позволяют контролировать местоположение детей, запуск и время работы приложений, а также просмотр сайтов в браузере и активность в социальных сетях. На iOS подобные приложения требуют установки профиля по технологии Mobile Device Management, что до июня этого года означало нарушение условий соглашения разработчика для платформы Apple, а также правил для приложений, подаваемых в App Store. В конце прошлого и начале этого года Apple стала планомерно выпиливать подобные приложения с профилями MDM из App Store, так как само наличие профиля MDM означало контроль владельца этого профиля над устройством, на котором оно установлено. Пострадавшие возмутились (кто-то жаловался в прессу, кто-то, как ЛК, жаловался в госорганы), и в итоге Apple в июне внесла изменения в правила для приложений в App Store, разъяснив ситуацию:

Guideline 5.5. (New) Because MDM provides access to sensitive data, MDM apps must request the mobile device management capability, and may only be offered by commercial enterprises, such as business organizations, educational institutions, or government agencies, and, in limited cases, companies utilizing MDM for parental controls. MDM apps may not sell, use, or disclose to third parties any data for any purpose, and must commit to this in their privacy policy.

Continue reading

WWDC 2019 — безопасность и конфиденциальность

Для меня показателем того, насколько интересной была в этом году конференция WWDC, является тот факт, что я до сих пор продолжаю публиковать свои заметки о том, что на ней показали. (да, уже прошел целый месяц после WWDC, просто я медленно пишу). К счастью, это последний материал, который я хотел написать по следам конференции.

Кроме всех новинок операционных систем, Mac Pro с новым монитором, и проч., я бы хотел отдельно выделить улучшения в продуктах, которые касаются безопасности и конфиденциальности пользовательской информации. О некоторых, как, например, Sign In with Apple или Find My я уже писал, а до остального руки дошли только сейчас. Хотя там тоже хватает интересного.


Список security-изменений в новых версиях iOS/macOS
Continue reading

Find My

Один из самых интересных для меня анонсов на WWDC 2019 – это функция мониторинга устройств Apple пользователями, которую Apple назвала Find My. Общая идея возможности пользователю видеть свои устройства сама по себе не нова и присутствовала у Apple под названием Find My iPhone много лет (и со временем стала позволять обнаруживать не только iPhone, но и другие устройства Apple, в том числе Маки). Историй о том, как пользователи находили свои потерянные и украденные устройства, включая истории про погони по городам за ворами, достаточно много. В этом году Apple, объединив два приложения Find My iPhone и Find My Friends, представила новый сервис Find My, который должен стать единым местом для просмотра информации о местоположении людей и техники. С людьми и социальным аспектом в целом понятно, а вот мониторинг устройств приобрёл очень интересную функцию. Речь идёт о возможности пользователю видеть местоположение устройства, которое не подключено к интернету.


Continue reading

“Для чего нужен новый iPod?”

Вчера одно издание обратилось ко мне за комментарием с вопросом, вынесенным в заголовок, и я решил, что можно его опубликовать и в блоге, тем более, что этот вопрос достаточно популярен и встречается часто. Моя первая реакция в Твиттере после вчерашнего анонса была такая:

Хорошие новости:
– там теперь процессор от iPhone 7
– есть 256ГБ
– дешево
– миниджек!

Плохие новости:
– ни FaceID, ни TouchID
– 4” экран, который придется поддерживать в приложениях
– гигантские рамки

Но возвращаясь к вопросу. У меня сформулировался на него следующий ответ:

iPod Touch, на первый взгляд, может показаться странным продуктом, который мало кому нужен. Действительно, зачем нужен, по сути, смартфон, но без возможности подключения к сотовой сети? Есть же iPhone, он решает все вопросы, которые может решить iPod Touch. Однако, iPod touch обладает гораздо большей популярностью, чем может показаться со стороны. Это недорогое устройство на базе iOS, что обеспечивает возможность использования экосистемы приложений и получения всех преимуществ iOS в виде безопасности, фокуса Apple на конфиденциальности данных, своевременных обновлений и возможностей по управлению корпоративными системами. Благодаря этим факторам, iPod Touch активно приобретают и используют в бизнес-среде, в качестве устройств для приема заказов и оплаты, устройств для сканирования товаров на полках магазинов и складов, и тд. Небольшая стоимость устройства, по сравнению с даже самым дешевым iPhone, добавляет привлекательности iPod Touch.
Continue reading

ZombieLoad

Обнаружен новый набор уязвимостей в процессорах Intel (вплоть до 2011 года), похожих на Meltdown/Spectre, эксплуатирующих “слабость” предположительных вычислений в современных процессорах. Новая атака называется ZombieLoad и состоит из 4 отдельных багов. Суть, как я понял, заключается в том, что специально подготовленный код позволяет заставить процессор выдать данные из других приложений. Проблема затрагивает как персональные компьютеры, так и виртуальные машины в облаке, где в результате атаки можно получить доступ к данным из других виртуальных машин. На данный момент следов реальных атак не было зафиксировано, но это не значит, что их не было. Для обычных пользователей это означает, что какое-то вредоносное ПО, установленное на компьютер, может запустить такую атаку и перехватить из процессора конфиденциальную информацию. Intel выпустила апдейт микрокода процессора, который, по словам представителя компании, может привести к снижению производительности персональных компьютеров до 3%, а компьютеров в облачных датацентрах — до 9%.

Ссылки по теме:
Информация об атаке

Производители компьютеров выпускают апдейты:
Apple выпустила 10.14.5, что предотвращает атаку через Safari. Для желающих защититься полностью от подобных угроз, в этом апдейте добавили также возможность полного отключения Hyper-Threading в процессоре, но это приведет к снижению производительности компьютеров на 40%
Continue reading

Cybersecus дайджест #81

Сразу две хорошие новости, я отлучился на небольшой отпуск, и за это время ничего катастрофического не произошло! Если, например, не считать того, что из-за проблем с сертификатом у Firefox, что привело к тому, что уже установленные расширения не запускались, а новые не устанавливались. Те 2,5 пользователя Firefox, которые пострадали, уже знают, что проблема была исправлена:
https://blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox/

А вот в китайском аналоге AWS — на облачной платформе Alibaba Cloud — обнаружилась база данных жителей из нескольких районов Пекина, которую собрали власти города с помощью системы распознавания лиц. “Умный город”, говорили они, “общественный транспорт вовремя”, говорили они, устанавливая камеры наблюдения. Только базу забыли закрыть паролем, и она лежала доступной для кого угодно в интернете. Elasticsearch, гигабайты данных, включая данные о распознавании сотен лиц за несколько месяцев. Базу обнаружил эксперт по кибербезопасности Джон Ветингтон, рассказавший об этом изданию TechCrunch.
https://techcrunch.com/2019/05/03/china-smart-city-exposed/

Компания 1Password, разработчик одноименного менеджера паролей, предлагает бесплатную версию своего приложения для журналистов. Нужно зарегистрироваться на странице, компания проверит статус зарегистрировавшегося как журналиста, и после этого зарегистрировавшийся получит бесплатную версию приложения.
https://blog.1password.com/world-press-freedom-day-1password-journalism/
Continue reading