Home-theater-designers
Applelle eivät ole vieraita tietoturvaloukkauksia, olipa kyse hakkeroista, tietomurroista tai haavoittuvuuksista. Et ehkä ole tietoinen näistä eri ongelmista, ja jotkut saattavat silti asettaa sinut vaaraan. Joten mistä Applen hakkeroista, tietomurroista ja haavoittuvuuksista sinun tulee tietää?
MUO päivän video JATKA SISÄLLÖLLÄ VIERÄTÄ
Applen hakkerit ja rikkomukset
Apple on nähnyt melkoisen osuutensa hakkeroista vuosien varrella, ja jotkut ovat olleet vakavampia kuin toiset. Aloitetaan hakkerointi, joka tapahtui yli kymmenen vuotta sitten.
1. XCodeGhost Hack (2015)
Vuonna 2015 haittaohjelmapohjainen hakkerointi vaikutti 128 miljoonaan iPhonen käyttäjään. Hakkerit käyttivät haitallista versiota XCodesta, Applen kehitysympäristöstä kaikissa sen käyttöjärjestelmissä, mukaan lukien iOS. Tämän XCodeGhost-nimisen haittaohjelman avulla hakkerit onnistuivat vaarantamaan noin 50 sovellusta Apple App Storesta. Ne, jotka olivat ladanneet kyseiset sovellukset, olivat alttiita hakkeroinnille, ja noin 500 miljoonan käyttäjän arvioitiin tuolloin olevan vaarassa.
Vaikka tämä mammuttiarvio osoittautuikin todellisuudessa hieman pienemmäksi, Applen Epic Gamesin kanssa käydyn oikeustaistelun aikana toimittamat asiakirjat paljastivat, että vaikutus oli edelleen 128 miljoonaa ihmistä, mukaan lukien 18 miljoonaa käyttäjää Yhdysvalloissa (kuten raportoi Turvallisuusasiat ).
Erityisen kiistanalaista tässä tapahtumassa on se, että Apple päätti tuolloin olla ilmoittamatta vaarassa oleville käyttäjille hyökkäyksestä. Kesti vielä kuusi vuotta ennen kuin yleisö tuli tietoiseksi hakkeroinnin todellisesta luonteesta, joka paljastui edellä mainitun Apple vs. Epic Games -oikeudenkäynnin aikana.
2. Pegasus Spyware (2016 eteenpäin)
Pahamaineinen Pegasus-vakoiluohjelma julkaistiin ensimmäisen kerran vuonna 2016, mutta nousi maailmanlaajuisesti tunnetuksi vuonna 2021, kun sitä käytettiin iOS:n hyväksikäyttöön tarkasti kohdistetuissa hyökkäyksissä. Pegasuksen on kehittänyt Israelin NSO Group, kiistanalainen organisaatio, joka on osunut turvallisuusuutisten otsikoihin monta kertaa aiemmin. Hallituksen hakkerit käyttävät nyt tätä vakoiluohjelmaa omiin tietoverkkorikoksiinsa, joten se on tuttu nimi kyberturvallisuuden asiantuntijoille. Itse asiassa NSO Group on myynyt Pegasus-vakoiluohjelmistonsa useille hallituksille ja osavaltioille, mukaan lukien Intia ja Meksiko.
Tässä Applen hyväksikäytössä iOS-haavoittuvuutta käytettiin väärin Pegasus-vakoiluohjelmien suorittamiseksi iPhoneissa. An Applen virallinen lausunto selitti, että ominaisuuksia kuten Lukitustila voidaan käyttää puolustautumiseen tällaisia hyökkäyksiä vastaan, samoin kuin vahvoja salasanoja ja ohjelmistopäivityksiä. Lisäksi ilmoitettiin, että uhkailmoituksia käytettäisiin varoittamaan käyttäjiä, jotka ovat saattaneet olla valtion tukemien hyökkääjien kohteena.
Tutustu oppaaseemme tarkista, onko iPhonessasi Pegasus-tartunta jos olet huolissasi tästä vakoiluohjelmasta.
3. SolarWinds (2021)
The SolarWinds-hyökkäys ravisteli teknologia- ja kyberturvallisuusteollisuutta vuonna 2021, eikä Apple onnistunut väistämään shokkiaaltoja.
SolarWinds-hyökkäyksen aikana hakkerit käyttivät iOS 14:n nollapäivän koodihaavoittuvuutta tunkeutuakseen iPhone-puhelimiin. Vian kautta hakkerit käyttivät haitallisia verkkotunnuksia ohjatakseen iPhonen käyttäjät tietojenkalastelusivustoille. Tämä puolestaan antoi hyökkääjille mahdollisuuden varastaa käyttäjien kirjautumistiedot, joita voitiin sitten käyttää joko tilien hakkerointiin tai myyntiin muille laittomille toimijoille laittomilla markkinapaikoilla.
4. Applen ja Meta-tietomurto (2021)
Viimeisin Applen tietoturvavälikohtaus tapahtui vuoden 2021 puolivälissä, kun Applen ja Metan henkilökuntaa huijasivat lainvalvontaviranomaisina esiintyneet hakkerit. Hyökkäyksessä hakkerit murtautuivat ensin lainvalvontaviranomaisten tileihin ja verkostoihin ja lähettivät sitten väärennettyjä kiireellisiä tietopyyntöjä kahden teknologiajätin työntekijöille ja kehottivat reagoimaan nopeasti. Vastauksena tähän viralliselta näyttävään pyyntöön ilmoitettiin käyttäjien IP-osoitteet, kotiosoitteet ja yhteystiedot.
On tärkeää huomata, että Applen ja Metan henkilökunta eivät toimittaneet tietoja satunnaisen pyynnön vuoksi. Hyökkääjät hakkeroivat laillisia poliisijärjestelmiä lähettääkseen pyynnön, mikä vaikeutti sen havaitsemista.
Applen haavoittuvuudet
Applen erilaiset ohjelmistot, mukaan lukien sen käyttöjärjestelmät, voivat joutua koodihaavoittuvuuksien uhreiksi. Joten mistä sinun pitäisi olla tietoinen?
1. Ytimen ja WebKitin haavoittuvuudet (2022)
Elokuussa 2022 Apple ilmoitti löytäneensä ytimen haavoittuvuuden (tunnetaan virallisesti nimellä CVE-2022-32894 ), joka salli mielivaltaisen koodin suorittamisen ytimen oikeuksilla. Apple korjasi CVE-2022-32894:n macOS Montereyllä, joten jos olet asentanut tämän päivityksen manuaalisesti tai käytät uudempaa macOS-versiota kuin Monterey, sinun pitäisi olla valmis.
Tämän haavoittuvuuden lisäksi löydettiin myös Apple WebKit -virhe. Tämä virhe oli myös vaarassa mielivaltaisen koodin suorittamisesta haitallisen verkkosisällön seurauksena. Kuten edellä mainittu haavoittuvuus, macOS Montereyn WebKit-virhe on korjattu kauan sitten.
mitä älytelevisio tekee
2. Blastpass-haavoittuvuudet (2023)
Syyskuussa 2023 havaittiin, että hyökkääjät ovat käyttäneet kahta Applen nollapäivän haavoittuvuutta. Haavoittuvuudet tunnetaan virallisesti nimellä CVE-2023-41064 ja CVE-2023-41061 , sen iOS-ohjelmistossa.
CVE-2023-41064 oli puskurin ylivuotohaavoittuvuus, joka salli mielivaltaisen koodin suorittamisen ja voi vaikuttaa kaikkiin iPhone-malliin 8 ja uudempiin, joissa on iOS-versio 16.6 tai uudempi. Tietyt iPad-mallit voidaan myös kohdistaa tämän puutteen kautta. CVE-2023-41061, joka löydettiin pian ensimmäisen kahdesta virheestä, oli vahvistusongelma, jota voitiin käyttää väärin haitallisten liitteiden kautta.
Samanaikaisesti käytettynä nämä kaksi haavoittuvuutta muodostivat hyväksikäyttöketjun, joka tunnetaan nimellä Blastpass, ja muodostivat osan NSO Groupin Pegasus-vakoiluohjelmien toimitusketjua, kuten raportoi Citizen Lab . Blastpassia voidaan käyttää iPhone- ja iPad-laitteiden hakkerointiin ilman, että uhrin tarvitsee edes olla vuorovaikutuksessa haitallisten verkkosivujen tai viestinnän kanssa. Nämä tunnetaan myös nimellä nolla-napsautushaavoittuvuuksia .
Applen lukitustilaa käyttämällä ketju voidaan kuitenkin pysäyttää raiteillaan, mikä estää sitä tartuttamasta laitettasi. Saatavilla on myös korjaustiedosto kahdelle hyväksikäytettävälle haavoittuvuudelle.
3. Säätiön haavoittuvuudet (2023)
Vuoden 2023 alussa paljastui kolme Applen nollapäivän haavoittuvuutta, jotka vaaransivat monet Applen käyttöjärjestelmät, mukaan lukien iOS, iPadOS ja macOS. Kaksi haavoittuvuudesta löydettiin Applen Foundation -kehyksestä, joka tarjoaa Applen sovellusten toiminnallisuuden ja yhteentoimivuuden perustason. Nämä kolme haavoittuvuutta, jotka tunnetaan nimellä CVE-2023-23530 , CVE-2023-23531 , ja CVE-2023-23520 , antoi hyökkääjille mahdollisuuden suorittaa haitallista koodia etänä tartunnan saaneilla laitteilla.
Helmikuussa 2023 Apple korjasi kolme tietoturvavirhettä, joten sinun ei pitäisi enää altistua niille, jos olet päivittänyt Apple-laitettasi säännöllisesti.
Apple ei ole tietoinen hakkeroista ja haavoittuvuuksista
Applen ohjelmistot ja laitteistot ovat erittäin turvallisia, mutta voit silti joutua riskeihin ja kyberhyökkäuksiin Applen käyttäjänä. Käytätpä sitten Apple-puhelinta, tablettia, tietokonetta tai kelloa, älä koskaan oleta, että olet suojattu tietoturvaongelmiin. On aina parasta pysyä ajan tasalla uusimmista Applen haavoittuvuuksista, hakkeroista ja tietomurroista, jotta voit suojata itseäsi paremmin ja valmistautua tuleviin tapauksiin.