Nagyjából így hangzik az Apple tanácsa: a vállalat okostelefonjain három, nulladik napi sérülékenységet kell javítani, mivel felbukkantak az ezt kihasználó első spyware-ek.

Tegnap jelent meg az iOS 9.3.5-ös verziója; az operációs rendszer azt követően frissült, hogy az IT-biztonsággal foglalkozó Lookout és a Citizen Lab tájékoztatta az Apple-t egy kémprogramról, ami a platform kódjában korábban ismeretlenül megbújó sérülékenységeket aknázza ki. A három sebezhetőség - CVE-2016-4655, CVE-2016-4656 és CVE-2016-4657 – révén lehetőség nyílik a kernelmemória megtekintésére egy feltelepített appból, távolról való kód futtatására és malware telepítésére.

Arra hívta fel a Lookout a figyelmet, hogy a Trident névre keresztelt három nulladik napi biztonsági rés miatt akár már egy szöveges üzenetben küldött linkre bökve is kiszolgáltatottá válhat az iPhone. Láthatatlanul fertőzi meg a felhasználó telefonját, vagyis a készülék tulajdonosa nem is szerez tudomást arról, hogy áldozatul esett, erősítette meg a vállalat.

A nyomok a közel-keletre vezetnek

A Tridentet kihasználó spyware jailbrake-eli a telefont, majd logolni kezdi a titkosított üzeneteket, aktiválja a mikrofont lehallgatási célokból és képes nyomon követni a készülék fizikai térben való mozgását. A kutatók a funkcionalitás és egyéb, fel nem fedett információk alapján úgy gondolják, hogy a Pegasus névre keresztelt digitális kártevő Izraelből származik, az ország kiberháborús feladatait ellátó NSO Group állhat a háttérben.

A Pegasus-t professzionális módon hozták létre, nagyon fejlett kóddal rendelkezik, hogy kihasználhassa a nulladik napi sebezhetőségeket, többek között képes tevékenységének elfedésére és titkosításra” – írják a kutatók. Szofisztikált funkciói révén megkerüli az operációs rendszer és az alkalmazásszintű biztonsági eszközöket, így hozzáférést szerezhet – többek között - a Gmailhez, a Facebookhoz, a WhatsApphoz, a FaceTime-hoz, a Viberhez, a WeChathez, a Telegramhoz és az Apple beépített üzenetküldő és e-mailező alkalmazásaihoz.

A fentieken túl ellopja az áldozat kontaktlistáját és GPS-lokációját, emellett a készüléken tárolt személyes, Wi-Fi és router jelszavakat. Komoly problémát jelent tehát, ezért az Apple sietett is leszögezni, hogy a Lookout bejelentését követő tízedik nap után már javította is a biztonsági réseket.

Minden felhasználónk számára javasoljuk az iOS legutolsó verziójának telepítését, hogy megvédhessék magukat a veszélyes biztonsági sebezhetőségekkel szemben” – olvasható az almás vállalat közleményében. Az Apple emellett frissítette az iOS 10 nyilvános és fejlesztőknek szánt bétáit is.

Mennyit ér egy hiba?

Akár 200 ezer dollárt is lehet keresni azzal, ha valaki egy Apple termékben talál biztonsági hibát. A többi techcéget követve ugyanis végre az Apple is elindította ún. bug bounty programját.  Az Exodus Intelligence aztán alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy korábban ismeretlen biztonsági résről szóló információért.

Nos, az ilyen esetek, mint a mostani, mutatják meg igazán, miért is éri meg akár dollárszázezreket kifizetni egy-egy, eddig még nem dokumentált sebezhetőségért.

Biztonság

Egyre kevésbé férnek hozzá az MI-fejlesztők a létfontosságú adatokhoz

A tartalomszolgáltatók sorra vezetik be a korlátozásokat az általuk közölt anyagok felhasználására, miközben a mesterséges intelligencia egyre többet követelne magának.
 
Általános jelenség a hazai nagyvállalatok körében, hogy a szükségesnél jelentősen többet költenek nyilvánosfelhő-szolgáltatásokra. Utánajártunk, mi a pontos helyzet, és mit lehet tenni a költségek optimalizálásáért.

a melléklet támogatója a 4iG Nyrt.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.