Google Zero meeskond Project Zero, mis on spetsiaalselt pühendatud olemasolevate opsüsteemide turvavigade leidmisele, on tänapäeval paljastanud ühe suurima rünnaku, mida iOS on selle loomisest saadik saanud. Kaheaastase ajavahemiku jooksul kuni viis turvarikkumist Nad on ära kasutanud nuhkvara installimist meie iPhone'i ja iPadi.
Mis on need turvavead? Milliste andmetega olete kokku puutunud? Millised seadmed on vastuvõtlikud olnud? Kuidas nad töötasid? Selgitame teile kõiki üksikasju ilma vennaskonna ja katastroofitaja keeles, millest kõik saavad probleemideta aru.
Viis turvaviga
Mis on turvarikkumine? Operatsioonisüsteemid pole täiuslikud, haavamatut süsteemi pole ja pole kunagi. On ainult süsteeme, mis on teistest turvalisemad, sest need muudavad häkkerite asjad keerulisemaks, kuid huvi korral leiavad nad alati turvavead, mida nad saavad ära kasutada. Need turvavead on "augud", mille kaudu saavad häkkerid meie süsteemi siseneda ja teha asju, mis pole lubatud, näiteks nuhkvara installimine.
Meie iPhone'is või iPadis ei saa installida ühtegi meie poolt leitavat tarkvara, ainult seda, mis on App Store'is ja mida Apple üle vaatab. Isegi tarkvaral, mis on App Store'is ja mida saame installida, on piirangud ja on funktsioone, millele tal puudub juurdepääs, just sellele põhineb turvalisus, mida Apple oma kasutajatele pakub. Aga nagu me ütlesime, ükski tarkvara pole täiuslik ja mõnikord ilmnevad "augud", kust pahatahtlikud rakendused võivad libiseda. Need viis turvaviga, millest täna räägime, võimaldasid mõnel häkkerite loodud veebisaidil meie iOS-i seadmetesse ilma meie teadmata installida nuhkvara, mis möödub ilmselgelt kõigist Apple'i turvameetmetest.
Mis veebilehed need on? Neid ei ole avaldatud, kuid võrgus ilmunud teabe kohaselt on need täpselt määratletud poliitiliste ideoloogiatega lehed, mis on loodud konkreetsetele elanikkonnarühmadele juurdepääsuks, seega kahtlustatakse, et nende rünnakute taga oleks riik (või mitu), et see, mida nad tahtsid, oli luurata teatud elanikkonnarühmade vastu. Milliseid andmeid nad said? Telefonikõned, sõnumid, WhatsApp, telegramm, veebilehed, asukoht ... väga väärtuslik teave ja mille eest nad oleksid maksnud suuri rahasummasid.
Kolm veast olid juba parandatud
Project Zero teatas Apple'ile nendest viiest turvaveast 2019. aasta veebruaris ja sel ajal parandati kolm neist viiest veast juba vastavate värskendustega, mille Apple tol ajal välja andis. Kaks viga, mida ei parandatud, kuna Apple ei teadnud enne, kui Project Zero neid näitas, võttis selle lahendamine nädala iOS 12.1.4 värskendusega. See tähendab, et vastupidiselt enamikus meediakanalites avaldatule pole meie iPhone'i rünnakute ohvriks langemine olnud kaks aastat, sest Apple lappas vead nende avastamisel.
Pikim viga oli vähem kui 10 kuud ("Kett 3"), ülejäänud vead kehtivad lühemaid perioode kui Apple'i käivitatud värskenduste tõttu, nagu näete nende lõikude kohal oleval graafikul ja kus on näidatud kuupäevad ja versioonid, mis lahendavad kõik turvavead.
Lahendus: värskendage alati uusimale versioonile
Me ei väsi seda kordamast hoolimata asjaolust, et paljud keelduvad sellega nõustumast: opsüsteemi olemasolu, mis toetab seda sagedaste ja pikaajaliste värskenduste abil, on parim viis maksimaalse võimaliku turvalisuse tagamiseks. On oluline, et reageerimisaeg oleks minimaalne, et probleemi lahendav värskendus oleks saadaval võimalikult kiiresti ja see jõuaks ka võimalikult paljude seadmeteni. Haavamatut opsüsteemi ei eksisteeri, kuid peate püüdma jääda võimalikult lähedale selle saavutamatu eesmärgi saavutamiseks.