Nagyjából így hangzik az Apple tanácsa: a vállalat okostelefonjain három, nulladik napi sérülékenységet kell javítani, mivel felbukkantak az ezt kihasználó első spyware-ek.

Tegnap jelent meg az iOS 9.3.5-ös verziója; az operációs rendszer azt követően frissült, hogy az IT-biztonsággal foglalkozó Lookout és a Citizen Lab tájékoztatta az Apple-t egy kémprogramról, ami a platform kódjában korábban ismeretlenül megbújó sérülékenységeket aknázza ki. A három sebezhetőség - CVE-2016-4655, CVE-2016-4656 és CVE-2016-4657 – révén lehetőség nyílik a kernelmemória megtekintésére egy feltelepített appból, távolról való kód futtatására és malware telepítésére.

Arra hívta fel a Lookout a figyelmet, hogy a Trident névre keresztelt három nulladik napi biztonsági rés miatt akár már egy szöveges üzenetben küldött linkre bökve is kiszolgáltatottá válhat az iPhone. Láthatatlanul fertőzi meg a felhasználó telefonját, vagyis a készülék tulajdonosa nem is szerez tudomást arról, hogy áldozatul esett, erősítette meg a vállalat.

A nyomok a közel-keletre vezetnek

A Tridentet kihasználó spyware jailbrake-eli a telefont, majd logolni kezdi a titkosított üzeneteket, aktiválja a mikrofont lehallgatási célokból és képes nyomon követni a készülék fizikai térben való mozgását. A kutatók a funkcionalitás és egyéb, fel nem fedett információk alapján úgy gondolják, hogy a Pegasus névre keresztelt digitális kártevő Izraelből származik, az ország kiberháborús feladatait ellátó NSO Group állhat a háttérben.

A Pegasus-t professzionális módon hozták létre, nagyon fejlett kóddal rendelkezik, hogy kihasználhassa a nulladik napi sebezhetőségeket, többek között képes tevékenységének elfedésére és titkosításra” – írják a kutatók. Szofisztikált funkciói révén megkerüli az operációs rendszer és az alkalmazásszintű biztonsági eszközöket, így hozzáférést szerezhet – többek között - a Gmailhez, a Facebookhoz, a WhatsApphoz, a FaceTime-hoz, a Viberhez, a WeChathez, a Telegramhoz és az Apple beépített üzenetküldő és e-mailező alkalmazásaihoz.

A fentieken túl ellopja az áldozat kontaktlistáját és GPS-lokációját, emellett a készüléken tárolt személyes, Wi-Fi és router jelszavakat. Komoly problémát jelent tehát, ezért az Apple sietett is leszögezni, hogy a Lookout bejelentését követő tízedik nap után már javította is a biztonsági réseket.

Minden felhasználónk számára javasoljuk az iOS legutolsó verziójának telepítését, hogy megvédhessék magukat a veszélyes biztonsági sebezhetőségekkel szemben” – olvasható az almás vállalat közleményében. Az Apple emellett frissítette az iOS 10 nyilvános és fejlesztőknek szánt bétáit is.

Mennyit ér egy hiba?

Akár 200 ezer dollárt is lehet keresni azzal, ha valaki egy Apple termékben talál biztonsági hibát. A többi techcéget követve ugyanis végre az Apple is elindította ún. bug bounty programját.  Az Exodus Intelligence aztán alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy korábban ismeretlen biztonsági résről szóló információért.

Nos, az ilyen esetek, mint a mostani, mutatják meg igazán, miért is éri meg akár dollárszázezreket kifizetni egy-egy, eddig még nem dokumentált sebezhetőségért.

Biztonság

Itthon már szinte mindenki netezik a mobilján

Egy friss felmérés szerint jelenleg 6,2 millióra tehető a hazai felnőtt okostelefon-használók tábora, akik közül nagyjából 6 millióan szörfölnek is mobiljukon.
 
Hirdetés

Felhőben az erő

Gyorsan változó hardveres technológiák, finomodó szoftveres környezet és felkészültebb humán erőforrás teszi jövőbiztossá a felhőt.

Veszélyek garmadája bújik meg a webes alkalmazások és az alkalmazásprogramozási interfészek közötti forgalomban. Ezek kiszűrésére és hatástalanítására szerencsére egyre hatékonyabb eszközökkel rendelkezünk.

a melléklet támogatója a Balasys

A Világgazdasági Fórum figyelmeztetése szerint jelentős szakadék tátong a C-szintű vezetők és az információbiztonságért felelős részlegek helyzetértékelése között.

A járvány üzleti vezetőt csinált a CIO-kból

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.