W ubiegły poniedziałek firma Apple wprowadziła aktualizacje systemów iOS i iPadOS związane z bezpieczeństwem i mające na celu usunięcie wielu poważnych luk w zabezpieczeniach, które narażają użytkowników mobilnych na ataki hakerów.
Najnowsze iOS 17.2 i iPadOS 17.2 zawierają poprawki co najmniej 11 udokumentowanych usterek bezpieczeństwa, z których niektóre są na tyle poważne, iż prowadzą do wykonania dowolnego kodu.
Według zespołu reagowania na incydenty bezpieczeństwa z Cupertino najpoważniejszym problemem jest uszkodzenie pamięci w ImageIO, które może prowadzić do wykonania dowolnego kodu podczas przetwarzania niektórych obrazów.
Wraz z nową wersją systemu, iOS 17.2, rozwiązano także problem w wykonywaniu kodu w silniku renderującym WebKit oraz inny związany z bezpieczeństwem pamięci.
Firma naprawiła także usterkę prywatności w kontach, problem z ujawnianiem informacji w AVEVideoEncoder. Wydanie zawierało zestaw rozszerzeń umożliwiający dostęp do wrażliwych danych użytkownika oraz lukę Siri, która umożliwiała osobie atakującej z fizycznym dostępem użycie bota głosowego w celu uzyskania dostępu do wrażliwych danych użytkownika.
Spółka udostępniła także iOS 16.7.3 i iPadOS 16.7.3, aby zapewnić serię poprawek bezpieczeństwa dla urządzeń ze starszymi wersjami systemu operacyjnego. Aktualizacje te obejmują również poprawki wcześniej udokumentowanych dni zerowych WebKit praktycznie wykorzystywanych w atakach.
To kolejna duża łata bezpieczeństwa po październikowym pośpiesznym wydaniu łaty usuwającej dwie poważne luki. Jedna z nich (CVE-2023-42824) umożliwiała lokalnemu atakującemu podniesienie uprawnień i została w praktyce wykorzystana w łańcuchu exploitów w zaobserwowanych atakach.
„Apple wie o raporcie mówiącym, iż problem ten mógł być aktywnie wykorzystywany w wersjach iOS wcześniejszych niż iOS 16.6” – oznajmiła firma, nie podając dodatkowych szczegółów.
Jednocześnie najnowsze odświeżenie platform iOS i macOS przyniosło znacznie więcej niż tylko pilne poprawki zabezpieczeń.
Spółka aktywowała nową funkcję o nazwie iMessage Contact Key Verification w ramach kolejnej próby blokowania osób nadużywających infrastruktury serwerów iMessage.
Wraz z aktywacją w pełni załatane iPhone’y i urządzenia z systemem macOS dodają przełącznik WŁ./WYŁ., za pomocą którego użytkownicy będą mogli zweryfikować, czy komunikują się tylko z wybranymi osobami, i otrzymają powiadomienia, jeżeli w procesie weryfikacji wystąpią problemy.
Apple ogłosiło tę funkcję po raz pierwszy w październiku i pozycjonuje ją jako kolejną przeszkodę mającą utrudnić życie cyberprzestępców i najemnych firm hakerskich, których celem jest usługa iMessage. W przeszłości dostawcy systemu szpiegującego do monitoringu, tacy jak NSO Group, byli przyłapywani na wykorzystywaniu exploitów zero-day i zero-click iMessage przeciwko celom na całym świecie.
Apple wprowadziło wcześniej „tryb blokady”, aby usunąć miejsca ataku i zablokować sponsorowane przez państwo szkodliwe oprogramowanie na swojej platformie, a firma w dalszym ciągu stara się powstrzymać gwałtowny wzrost liczby dni zerowych.
Spółka opublikowała wskazówki dotyczące włączania nowej funkcji, aby pomóc użytkownikom automatycznie komunikować się z wybraną osobą. Na wszystkich urządzeniach zalogowanych do iMessage muszą działać systemy iOS 17.2, macOS 14.2 lub watchOS 9.2.
„W rozmowach iMessage z osobami, które również włączyły weryfikację klucza kontaktowego iMessage, otrzymasz powiadomienie, jeżeli wystąpi błąd w procesie weryfikacji. Dzięki tym alertom choćby bardzo wyrafinowany atakujący nie będzie w stanie podszyć się pod nikogo w rozmowie” – wyjaśnia Cupertino.
Ponadto użytkownicy iPhone’a i macOS mogą manualnie weryfikować kontakty, porównując kody weryfikacyjne. „Kiedy manualnie zweryfikujesz kontakt, weryfikacja klucza kontaktu iMessage sprawdza, czy zapisany kod jest zgodny z kodem dostarczonym przez serwery iMessage dla tego kontaktu i powiadamia Cię, jeżeli kod weryfikacyjny ulegnie zmianie” – opisuje firma.