Nagyjából így hangzik az Apple tanácsa: a vállalat okostelefonjain három, nulladik napi sérülékenységet kell javítani, mivel felbukkantak az ezt kihasználó első spyware-ek.
Hirdetés
 

Tegnap jelent meg az iOS 9.3.5-ös verziója; az operációs rendszer azt követően frissült, hogy az IT-biztonsággal foglalkozó Lookout és a Citizen Lab tájékoztatta az Apple-t egy kémprogramról, ami a platform kódjában korábban ismeretlenül megbújó sérülékenységeket aknázza ki. A három sebezhetőség - CVE-2016-4655, CVE-2016-4656 és CVE-2016-4657 – révén lehetőség nyílik a kernelmemória megtekintésére egy feltelepített appból, távolról való kód futtatására és malware telepítésére.

Arra hívta fel a Lookout a figyelmet, hogy a Trident névre keresztelt három nulladik napi biztonsági rés miatt akár már egy szöveges üzenetben küldött linkre bökve is kiszolgáltatottá válhat az iPhone. Láthatatlanul fertőzi meg a felhasználó telefonját, vagyis a készülék tulajdonosa nem is szerez tudomást arról, hogy áldozatul esett, erősítette meg a vállalat.

A nyomok a közel-keletre vezetnek

A Tridentet kihasználó spyware jailbrake-eli a telefont, majd logolni kezdi a titkosított üzeneteket, aktiválja a mikrofont lehallgatási célokból és képes nyomon követni a készülék fizikai térben való mozgását. A kutatók a funkcionalitás és egyéb, fel nem fedett információk alapján úgy gondolják, hogy a Pegasus névre keresztelt digitális kártevő Izraelből származik, az ország kiberháborús feladatait ellátó NSO Group állhat a háttérben.

A Pegasus-t professzionális módon hozták létre, nagyon fejlett kóddal rendelkezik, hogy kihasználhassa a nulladik napi sebezhetőségeket, többek között képes tevékenységének elfedésére és titkosításra” – írják a kutatók. Szofisztikált funkciói révén megkerüli az operációs rendszer és az alkalmazásszintű biztonsági eszközöket, így hozzáférést szerezhet – többek között - a Gmailhez, a Facebookhoz, a WhatsApphoz, a FaceTime-hoz, a Viberhez, a WeChathez, a Telegramhoz és az Apple beépített üzenetküldő és e-mailező alkalmazásaihoz.

A fentieken túl ellopja az áldozat kontaktlistáját és GPS-lokációját, emellett a készüléken tárolt személyes, Wi-Fi és router jelszavakat. Komoly problémát jelent tehát, ezért az Apple sietett is leszögezni, hogy a Lookout bejelentését követő tízedik nap után már javította is a biztonsági réseket.

Minden felhasználónk számára javasoljuk az iOS legutolsó verziójának telepítését, hogy megvédhessék magukat a veszélyes biztonsági sebezhetőségekkel szemben” – olvasható az almás vállalat közleményében. Az Apple emellett frissítette az iOS 10 nyilvános és fejlesztőknek szánt bétáit is.

Mennyit ér egy hiba?

Akár 200 ezer dollárt is lehet keresni azzal, ha valaki egy Apple termékben talál biztonsági hibát. A többi techcéget követve ugyanis végre az Apple is elindította ún. bug bounty programját.  Az Exodus Intelligence aztán alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy korábban ismeretlen biztonsági résről szóló információért.

Nos, az ilyen esetek, mint a mostani, mutatják meg igazán, miért is éri meg akár dollárszázezreket kifizetni egy-egy, eddig még nem dokumentált sebezhetőségért.

Biztonság

Fehérkalapos hekkereket tett milliomossá a HackerOne

Nyolcan vittek el több mint egymilliót abból a százmillió dollárból, amit a portál eddigi története során kifizetett. Mindenkinek adott a lehetőség a csatlakozásra...
 
A biztonság kiszervezéséhez komoly bizalmi tőke kell, ami lassan épül fel, de tartósabb is, mint a betyárbecsület.

a melléklet támogatója a Euro One

Hirdetés

Így érdemes kialakítani a biztonságfelügyeletet

A jó példákért nem kell messze menni. Az alábbiakban csupa magyarországi bevált gyakorlat következik.

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Mi köze az IBM licencszerződések apró betűs kitételeinek ahhoz, hogy a Microsoft Windows Server 2008 életciklusának végéhez ér? Rogányi Dániel (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.