Как и зачем Apple хочет избавить своих пользователей от паролей

Auto Unlock

Экосистема играет, пожалуй, наиболее важную роль в жизни каждого пользователя «яблочной» техники. Вызывая прямую зависимость от владения именно ей, электроника из Купертино все же позволяет нам с легким сердцем не заглядывать в «чужой огород» и просто наслаждаться тем, что имеется. А имеется в этом арсенале практически все, начиная от Wi-Fi-роутеров и заканчивая профессиональными вычислительными машинами и ювелирными изделиями стоимостью в несколько тысяч долларов. Что еще нужно для счастья?

Как выяснилось в ходе презентации 13 июня, прошедшей в рамках Всемирной конференции разработчиков, в Купертино по традиции знают ответ на этот вопрос гораздо лучше нашего. Представленное обновление macOS Sierra, добавившее в работу системы простоты и удобства, подтверждает эту давнюю аксиому абсолютно и основательно. Все еще не понимаете, о чем я? Конечно же, о паролях.

Появившаяся возможность разблокировки вашего Mac посредством Apple Watch, находящихся поблизости, является прямым продолжением функции Continuity и намекает на недюжинный потенциал «умных» часов компании. Даже удивительно, почему ничего подобного не было реализовано ранее, ведь место Apple Watch вполне могли занять наши iPhone или iPad со встроенными сканерами Touch ID. Но и тут у Apple есть свое видение.

Идея данной функции витала среди разработчиков компании достаточно давно, но гарантировать абсолютную безопасность операции могли далеко не все устройства. Синхронизируясь же с учетной записью iCloud, Apple Watch посылают подтверждающий сигнал на сервера Apple и после сопоставления данных о местонахождении владельца позволяют активировать компьютер. Но как часы узнают, что хозяин не оставил их на столе, и это действительно он, а не кто-то другой, желает начать работу за Mac?

Тут в дело вступает целый набор всевозможных датчиков, отслеживающих положение часов не только в пространстве, но и на руке постоянного носителя. Как сложно и вместе с тем невероятно логично, ведь имитировать ЧСС другого человека или подделать отпечаток его пальца гораздо сложнее, чем подобрать или выведать даже 6-значный пароль. Судя по всему, подобные измышления и стали одной из причин отказа от использования слайдера разблокировки в iOS 10.

Желаете сохранить свои данные? У нас есть широкий спектр устройств со сканерами всего и вся, которые способны-таки гарантировать вашу безопасность. Доверяете устройствам только из-за их непопулярности? Будьте спокойны, ФБР взломает и их. Почему нельзя хранить сведения о пользователях в недоступном для лап злоумышленников месте? Ответ на этот вопрос хоть и не так очевиден, но все же известен.

[Обновлено] Уязвимость Telegram ставит под угрозу работу iPhone

Приложение Telegram

Все мы помним неоднократные скандалы с iMessage, когда пользователи отправляли друг другу сообщения, которые приводили к переполнению оперативной памяти iPhone и, как следствие, самовольной перезагрузке смартфона. Теперь с такой же проблемой могут столкнуться пользователи Telegram.

Экспертам по информационной безопасности удалось обнаружить уязвимость, с помощью которой любой пользователь Telegram может заставить ваш iPhone перезагрузиться, пишет threatpost. Суть в том, что злоумышленник отправляет жертве сообщение размером больше 4 кБ (максимально возможное для мессенджера), после чего оперативная память устройства не может справиться с неожиданным наплывом данных, и iPhone отключается.

Сообщается, что эксплойт был найден двумя исследователями, которые смогли программно обойти ограничение по размеру сообщений в Telegram. Благо они оказались благоразумными: уязвимость не опубликована в открытом доступе, поэтому хакеры и злоумышленники не смогут ею воспользоваться.

Разработчики мессенджера уже предупреждены о существовании эксплойта. На момент написания статьи обновлений Telegram в App Store не было.

UPD: в беседе с порталом vc.ru основатель Telegram Павел Дуров опроверг появление уязвимости в своем мессенджере.

Они (исследователи — прим.ред.) вышли недавно после долгого молчания, но ничего вразумительного не смогли сообразить.

Серверное ограничение при отправке было всегда. У них исходящее сообщение выглядело большим только потому, что отправляющий клиент сразу его так отображал. С другого клиента у отправителя и у получателя это сообщение будет обрезанным.

А им казалось, что отправляют мегабайты. В то время как по сути они лишь нашли способ отправить 35 КБ вместо 16 КБ, что ни на что не влияло (завесить так что-либо невозможно).

Джейлбрейк iOS 10: печальные новости

Джейлбрейк iOS 10: печальные новости

В прошлом месяце мы рассказывали о том, как итальянский хакер по имени Лука Тодеско продемонстрировал, как при помощи уязвимости встроенного браузера Safari ему удалось сделать джейлбрейк iOS 9.3.2. Хотя его эксплойт так и не дошел до стадии публичной утилиты, он заметил, что в недавно вышедшей iOS 10 данная дыра в безопасности была закрыта.

Эксплойт, который Тодеско назвал GasGauge, сыграл ключевую роль в создании джейлбрейка через браузер. В то же время, так как в последней публичной версии iOS данная уязвимость еще работает, хакер решил сделать ее доступной для других джейлбрейкеров, чтобы помочь им создать утилиту для взлома текущих версий системы.

По его словам, данный эксплойт работает даже в бета-версиях iOS 9.3.3, а это значит следующее: джейлбрейк нынешних версий систем возможен, а вот выхода аналогичной утилиты для iOS 10 придется ждать долго. Хакер похвалил то, какое серьезное внимание в новой системе компания Apple уделила безопасности, закрыв не только эту уязвимость, но и другой эксплойт, над которым Тодеско работал в последнее время.

АНБ раскрыло подробности о взломе iPhone «калифорнийского стрелка»

Apple vs. FBI

Почти канувшее в Лету дело Сан-Бернардино, в рамках которого фигурировал небезызвестный iPhone 5c, стараниями западных информагентств вновь оказалось на повестке дня. Причиной возрождения интереса к едва забытой теме послужили вновь открывшиеся обстоятельства, которыми поделился представитель Агентства национальной безопасности.

Выступая на конференции, посвященной вопросам совершенствования военной техники, заместитель директора ведомства Ричард Ледгетт вполне целенаправленно затронул столь богатую на противоречия материю. По его словам, властям не удалось собственноручно взломать iPhone 5c террориста исключительно в силу слабой распространенности вышеозначенного смартфона.

«Мы не «работаем» с каждым телефоном в отдельности и даже не стараемся взять каждый существующий телефон в «разработку», — заявил Ледгетт. – Более того, мы не будем заниматься [телефоном] до тех пор, пока не столкнемся с тем, что какой-нибудь плохой парень пользуется таким. Другими словами, iPhone 5c никогда не попадал в поле зрения властей только потому, что он не был интересен достаточному количеству покупателей, решивших поступиться законом».

По понятным причинам, в числе коих присутствуют и ограниченные ресурсы, АНБ и ФБР не в силах сосредотачиваться на взломах всего и вся. При этом создание искусственных уязвимостей для операционных систем в подавляющем большинстве случаев является пустой тратой времени и денег из-за относительно низкого уровня доказуемости подобных преступлений, подытожил чиновник.

Напомним вам, что фигурировавший в рамках дела Сан-Бернардино iPhone 5c, принадлежащий Сайеду Ризвану Фаруку, являлся главным вещественным доказательством и мог существенно помочь следствию. Получить же доступ к содержимому заблокированного устройства могли только специалисты компании Apple, отказавшиеся нарушать тайну частных сведений. В конечном итоге iPhone был взломан некой группой хакеров, пожелавших остаться инкогнито.

Мораль: пользуйтесь малопопулярными смартфонами и тогда, быть может, вас не взломают.

Учетная запись Apple ID отключена из соображений безопасности. Что это значит?

Apple ID iCloud

Иногда к нам обращаются читатели, которые сталкиваются с неожиданной и на первый взгляд пугающей проблемой: на iPhone или компьютере появляется сообщение об отключении или блокировке учетной записи Apple ID из «соображений безопасности». Если вам тоже приходили такие сообщения «счастья», есть повод задуматься, поскольку случайно они не рассылаются.

Apple ID заблокирован

Идентификатор Apple ID автоматически блокируется, если вы или кто-то другой неправильно вводите пароль или ответы на контрольные вопросы слишком много раз. Вот только если в случае с контрольными вопросами вы получите сообщение на свой почтовый ящик, привязанный к Apple ID, то про неверный ввод пароля к вашему аккаунту кем-то другим узнаете уже благодаря сообщению о блокировке.

Поэтому если вы получили подобное сообщение, это может означать, что кто-то пытается получить доступ к вашей учетной записи Apple ID. Злоумышленнику достаточно знать адрес электронной почты, чтобы затем несколько раз пытаться подобрать пароль к аккаунту. Если у него это не получается, Apple ID отключают для пресечения дальнейших последствий взлома.

Что делать, если одно из предупреждений все же отобразилось у вас? Переходите на iforgot.apple.com/ru, где вы сможете сбросить пароль и разблокировать свою учетную запись. Мы также советуем использовать двухфакторную аутентификацию — тогда ваш аккаунт точно будет в безопасности.

В России заработала биржа с уязвимостями iOS

Взлом iPhone

В России заработала первая биржа по продаже уязвимостей в популярном программном обеспечении, в том числе операционной системе iOS. Любой желающий может получить информацию об эксплоитах в том или ином ПО, правда удовольствие не из дешевых.

Компанию Expocod основал бывший сотрудник Росфинмониторинга, который собрал команду из хакеров и экспертов по информационной безопасности, пишет «Коммерсант». Так, например, на сайте проекта указано, что уязвимость в iOS может быть продана за 80 тысяч долларов, эксплоиты в OS X оценили поменьше — в 45 тысяч долларов.

Биржа

Сейчас компания не находит уязвимости сама — она занимается их куплей-продажей, но в дальнейшем намерена искать и разрабатывать эксплоиты самостоятельно. Как говорит основатель Expocod, его команда не собирается зарабатывать исключительно благодаря взлому.

Мы сможем протестировать на наличие уязвимостей банковские АБС или то, насколько какое-либо оборонное предприятие уязвимо для внешних угроз. Хотим показать, что исследователи уязвимостей могут зарабатывать не только благодаря взлому тех или иных объектов, но и отдав свои труды на безопасность.

Тем не менее факт остается фактом — в распоряжении компании множество уязвимостей, которые она готова продать. К оплате будут приниматься как банковские карты, так и биткоины. Сейчас похожие биржи уже функционируют за рубежом — среди них Zerodium, Zeronomicon, Zero Day Initiative и другие. Там расценки еще выше, вплоть до полумиллиона долларов.

Источники, знакомые с ситуацией, сообщили, что проектом уже заинтересовались в ФСБ. Так что у Apple не очень много времени на покупку нужных эксплоитов.

Джейлбрейк iOS 9.3.3 выйдет в ближайшее время

Держитесь там!

Джейлбрейк iPhone и iPad — это как специальная версия конкурса «Евровидение», где ранее совершенно неизвестный программист наутро просыпается знаменитым. И все, что ему нужно сделать, это стать первым, кто выпустит заветную утилиту. Когда-то такими подвигами прославились ребята из команды Evad3rd, затем на весь мир прогремели китайцы из Pangu и TaiG. Кажется, в ближайшее время на небосклоне джейлбрейка загорится звезда греческой команды под названием GSMagic.

Программисты из этой команды опубликовали видео, в котором можно увидеть iPhone, работающий на базе iOS 9.3.3. Через несколько секунд нам становится очевидно, что это iPhone не простой, а прошедший через процедуру джейлбрейка, о чем свидетельствует наличие магазина Cydia и возможность установки приложений из него.

Пользователь Reddit под ником Mitsosg13 утверждает, что успел поговорить с хакерами и выяснить, что продемонстрированная утилита выйдет уже в ближайшее время. Причем речь идет не о месяцах, а неделях или днях, которые потребуются ребятам, чтобы устранить имеющиеся ошибки.

Все было бы прекрасно, если бы iOS 9.3.3 в настоящий момент не находилась на стадии бета-версии, что налагает определенные ограничения на пользователей. Если же в скором времени выйдет финальная версия системы, в которой Apple не прикроет уязвимости, обнаруженные GSMagic, то можно будет сообщать о хорошей новости. А пока, дорогие джейлбрейкеры, держитесь, хорошего настроения и здоровья.

iOS снова взломали с помощью встроенного браузера Safari

iphone_jail

Сегодня джейлбрейк не пользуется большой популярностью. В качестве одной из причин можно назвать улучшенную со временем безопасность iOS. Каждую новую версию мобильной ОС от Apple взломать все сложнее. По крайней мере нам так кажется. Итальянский хакер Лука Тодеско смог продемонстрировать обратное. На его видео он смог взломать свой iPod touch на iOS 9.3.2, даже не подключая его к компьютеру.

Если вы давно используете устройства от Apple, возможно, вы помните, что одну из версий iOS 4 можно было взломать, просто зайдя на сайт JailbreakMe с помощью встроенного браузера Safari. Прошло много времени, и много дыр в iOS было закрыто, однако Лука Тодеско продемонстрировал все то же самое с iOS 9.3.2.

Это хорошие новости для любителей джейлбрейка и плохие новости для всех остальных пользователей iOS. Несмотря на все усилия Apple, их операционную систему все еще можно взломать с помощью встроенного браузера. Для этого даже не требуется подключение к компьютеру. Ранее Лука Тодеско продемонстрировал работу своего метода взлома последней бета-версии iOS 9.3.3, однако хакер не планирует отдавать свои инструменты для взлома кому-либо.

Касперский: не заряжайте свой iPhone от компьютера

Касперский: не заряжайте свой iPhone от компьютера

Большинство пользователей привыкло заряжать свои смартфоны, подключая их к розетке, однако не всегда у нас есть возможность это сделать. Поэтому периодически приходится подключать гаджет через USB к другим устройствам, например, к компьютерам. По мнению «Лаборатории Касперского», это очень небезопасное решение, которое может позволить злоумышленникам серьезно вам навредить.

Эксперты лаборатории протестировали ряд смартфонов, работающих под управлением Android и iOS, и выяснили, что во время подключения к компьютеру с помощью стандартного USB-кабеля мобильные гаджеты автоматически обмениваются определенным набором данных: таких как тип устройства, название производителя, серийный номер, информация о прошивке, операционной и файловой системах и так далее.

Сотрудники «Лаборатории Касперского» утверждают, что получение такой информации позволяет киберпреступникам определять уязвимости и получать контроль над устройствами. Это может быть осуществлено посредством одной из команд модема, выполняющей перезагрузку смартфона в режиме обновления прошивки. В результате этих действий на гаджет можно незаметно установить приложение для управления файловой системой, которое нельзя удалить стандартными средствами. При этом данные пользователя остаются на месте, но гаджет оказывается полностью скомпрометированным.

Создатели антивирусного программного обеспечения не конкретизируют, каких именно угроз следует опасаться пользователям iOS. В том, что гаджеты на Android больше подвержены подобным атакам, сомнения не вызывает, однако хотелось бы понимать, насколько серьезными могут быть опасения владельцев iPhone. Как бы то ни было, советуем вам всегда предпочитать зарядку смартфонов от сети, если имеется соответствующая возможность.

«Взлома iCloud не было»: как хакерам удалось украсть фото знаменитостей

iCloud iPhone

В 2014 году Apple оказалась в центре серьезного скандала: десятки американских знаменитостей сообщили о взломе своих учетных записей iCloud и утечке конфиденциальной информации (в том числе весьма пикантных фотографий) в Сеть. Так называемые эксперты сразу же начали обвинять технологическую корпорацию в недостаточной защищенности «облачного» хранилища — действительно, как в Apple могли такое допустить? Однако, как оказалось, винить в произошедшем «яблочную» компанию никак нельзя.

Несколько недель назад полиция совместно с ФБР задержала хакера из Пенсильвании, которому и предъявили обвинение во взломе аккаунтов знаменитостей. На днях обвиняемый признал свою вину, сообщает издание Deadline, и рассказал, как все было на самом деле.

Никакого взлома iCloud не было — хакер не использовал хитроумные утилиты и не писал десятки тысяч строк кода, чтобы получить доступ к резервным копиям. Вместо этого он занялся фишингом: отправлял знаменитостям письма якобы от Apple (например, о подозрительной активности или взломе), доверчивые селебрити вводили данные своих Apple ID, после чего вся информация попадала к хакеру. Естественно, после этого он мог просматривать все файлы в iCloud — от почты и контактов до фотографий и видео.

Так что никакой он не хакер, а самый настоящий мошенник, который создал проблемы не только себе и знаменитостям, но и самой Apple, которая потратила много времени на выяснение обстоятельств взлома. Источники в ФБР сообщают, что корпорация активно помогала в расследовании.

Райан Коллинс, а именно так зовут «хакера», признал вину только во «взломе», но не в публикации фотографий. Тем не менее даже с учетом первого мошеннику грозит реальный тюремный срок.