2023 рік був напруженим для системи безпеки Apple: з’явилося більше шкідливого програмного забезпечення, більше вразливостей і більше спроб обійти засоби захисту, вбудовані в macOS, iOS та iPadOS. Крім того, стороннє програмне забезпечення, що використовується на платформах Apple, було схильне до вразливостей і порушень, що робить вкрай важливим постійне оновлення безпеки як операційних систем Apple, так і іншого програмного забезпечення.
У 2023 році низка вразливостей “нульового дня” змусила Apple випустити екстрені оновлення системи безпеки, включаючи перші оновлення “Швидкого реагування на загрози безпеці“, а також запровадити нові функції, які допоможуть забезпечити конфіденційність і безпеку в macOS, iOS та iPadOS.
Нижче ми розповімо про основні новини Apple, а також про деякі проблеми з безпекою та конфіденційністю, які вплинули на користувачів Apple у 2023 році.
Браузеру Safari від Apple виповнюється 20 років
Також у січні компанія Apple відсвяткувала 20-ту річницю свого веб-браузера Safari. Оскільки веб-браузер є платформою для значної частини взаємодії з Інтернетом, Apple постійно додає функції для забезпечення безпеки та конфіденційності Safari. Існує велика конкуренція, але Safari є чудовим вибором для користувачів пристроїв Apple. Нижче ви дізнаєтеся більше про нові функції конфіденційності та безпеки в Safari в операційних системах цього року. Будучи другим за популярністю браузером у світі, Safari є основною мішенню для кіберзлочинців.
Оновлення безпеки Apple (і їх відсутність для Apple Watch Series 3)
Протягом 2023 року Apple випустила десятки оновлень безпеки для своїх операційних систем і програмного забезпечення, а в січні навіть випустила мінімальні патчі для десятирічних iPhone і iPad під управлінням iOS 12. Однак компанія забула виправити вразливості в безпеці, які вплинули на Apple Watch Series 3, що поставило під загрозу користувачів цього пристрою. Компанія продавала нові пристрої в основному розділі свого магазину ще у вересні 2022 року і продовжувала продавати відновлені пристрої до березня 2023 року; докладніше про це див. у розділі “Березень” нижче.
Apple додала підтримку апаратних ключів безпеки
У січні 2023 року компанія Apple додала до своїх операційних систем функцію, яка дозволяє користувачам захищати свої облікові записи Apple ID за допомогою апаратних ключів безпеки, які можуть працювати через USB, Bluetooth або NFC. Це не дозволяє хакерам змінити пароль Apple ID без цього апаратного ключа. Це надійний засіб захисту, але він передбачає певні труднощі для користувачів, тому цю технологію варто застосовувати лише тим, чиї облікові записи перебувають у зоні ризику.
Лютий
Twitter робить 2FA на основі SMS лише платною функцією
Twitter (тепер X) оголосив, що компанія відключає двофакторну автентифікацію (2FA) за допомогою SMS-повідомлень для всіх користувачів, які не платять за обліковий запис Twitter Blue (тепер X Premium) (який коштує щонайменше $7 на місяць при щорічній оплаті через Інтернет). Хоча надсилання кодів двофакторної автентифікації через SMS за своєю суттю є небезпечним, це все ж краще рішення, ніж взагалі не використовувати 2FA, якщо з якихось причин користувачі не можуть використовувати інші варіанти 2FA.
У статті на блозі Intego Mac Security Blog ми пояснювали, як налаштувати двофакторну автентифікацію в Twitter/X за допомогою брелока Apple Keychain і додатків-автентифікаторів без необхідності платити за X Premium.
(Пізніше в цьому році X представила план Basic за $3 на місяць, який включає в себе 2ФА на основі SMS без синього значка “підтверджено”).
Apple запустила розширений захист даних для iCloud
Також у лютому Apple запустила функцію Advanced Data Protection для iCloud. Ця функція забезпечує користувачам “найвищий рівень безпеки хмарних даних, надаючи користувачам можливість захистити переважну більшість своїх найбільш конфіденційних даних в iCloud за допомогою наскрізного шифрування, щоб їх можна було розшифрувати лише на довірених пристроях”. Однак ця функція має певні обмеження, і вона не рекомендована для всіх.
Березень
Фішингові листи використовують інструменти штучного інтелекту, щоб виглядати легітимними
Фішинг – одна з головних загроз для користувачів, і ми вже давно попереджаємо людей про шкідливі електронні листи. З появою інструментів штучного інтелекту, таких як ChatGPT, одна з характерних ознак фішингових листів, а саме погана граматика та орфографія, стала менш поширеною.
Apple нарешті припинила продаж вразливого Apple Watch Series 3
Вище ми згадували, що Apple не випускала оновлення безпеки для Apple Watch Series 3, які припинила продавати (нові) у вересні 2022 року. Але компанія продовжувала продавати відновлені моделі цього годинника до березня 2023 року, через вісім місяців після того, як версія watchOS, яку він підтримує, отримала останнє оновлення безпеки. Вкрай небезпечно продавати пристрої, які не можуть отримати виправлення безпеки, і так само небезпечно купувати пристрої, які наближаються до кінця свого життя.
Пас-ключі поступово набувають популярності
Пас-ключі – це нова технологія, яка (як передбачається) з часом замінить паролі. З ними більше не потрібно запам’ятовувати надійні паролі або створювати занадто прості, але легкі для запам’ятовування паролі. Пас-ключі використовують біометричну автентифікацію на ваших пристроях, і їх неможливо підробити або зламати. Підтримка цієї технології почала впроваджуватися на низці веб-сайтів і сервісів на початку 2023 року, а компанія Apple також додала підтримку паролів до Apple ID.
Квітень
Шахраї все частіше використовують легальні сервіси для надсилання фальшивих рахунків
Як зазначалося вище, фішинг є однією з головних загроз для користувачів сьогодні. Поширюється нова тривожна тенденція: фішинг використовує надійне програмне забезпечення для онлайн-бухгалтерії для створення фальшивих рахунків, у тому числі для відомих сервісів, таких як Best Buy’s Geek Squad. Багато з них надсилаються програмним забезпеченням від Intuit, таким як QuickBooks, і компанія не виявляє особливого інтересу до їх запобігання. А в червні ми розглянули, як ці шахрайства поширилися на інші хостинги, такі як PayPal.
Google Chrome має дві вразливості нульового дня
Цього року у веб-браузері Google Chrome було виявлено кілька вразливостей нульового дня, в тому числі дві менш ніж за тиждень у квітні. Але вони впливають не лише на Chrome: інші браузери, які використовують движок Chromium, також потребують оновлень. Якщо ви використовуєте один з цих браузерів, вам необхідно регулярно оновлювати його. Ці уразливості також впливають на додатки, що використовують фреймворк Electron, тому переконайтеся, що ці додатки оновлені. Загалом протягом року було виявлено вісім уразливостей нульового дня, які вплинули на Chrome та рушій Chromium.
Травень
Apple випустила перші в історії патчі швидкого реагування на загрози безпеці
Для нових операційних систем Apple 2022 року компанія розробила оновлення, які вона називає “швидким реагуванням на загрози безпеці”. Ці оновлення призначені для усунення вразливостей “нульового дня”, які потрібно виправити якомога швидше, не чекаючи більш загальних оновлень для macOS, iOS та iPadOS. У травні Apple випустила своє перше оновлення швидкого реагування на загрози безпеці, а пізніше в цьому році випустила інші оновлення швидкого реагування на загрози безпеці (в тому числі, в липні було випущено оновлення, що не працює).
Intego випустила інструкцію, як уникати старих операційних систем Apple
Apple випускає виправлення безпеки для поточної та попередніх версій своїх операційних систем, але старіші ОС можуть не отримувати оновлення, що робить їх небезпечними. Вище ми згадували, як Apple продавала відновлені Apple Watch Series 3 задовго до того, як пристрій перестав отримувати оновлення. Оскільки Apple та інші роздрібні продавці продають відновлені моделі iPhone, ми з’ясували, як довго можна безпечно купувати старі iPhone. У статті “Коли старий iPhone стає небезпечним для використання?” ми дали поради щодо того, скільки років Apple зазвичай підтримує iPhone з оновленнями безпеки. Іноді бувають винятки – наприклад, згадане вище оновлення в січні, яке виправило вразливості на пристроях десятирічної давності, – але вони трапляються рідко. У липні ми опублікували схожу статтю про старіші моделі Mac, в якій розповіли, які з них не підтримують поточну або попередні версії macOS – єдині версії, які регулярно отримують оновлення безпеки.
Червень
Apple спрощує отримання та встановлення бета-версій своїх ОС
Apple вже давно пропонує бета-версії свого програмного забезпечення людям з акаунтами розробників, які наразі коштують 99 доларів на рік. У 2022 році вони вирішили дозволити будь-кому, хто хоче ризикнути, запустити бета-версію програмного забезпечення на своїх пристроях. Зробити це легко, але не без потенційних ризиків, особливо щодо даних на ваших пристроях. Ми пояснили, як ви можете налаштувати свої пристрої на встановлення бета-версій програмного забезпечення, і розповіли про небезпеки, які можуть виникнути при цьому.
Apple анонсувала macOS Sonoma, iOS 17 та багато іншого на WWDC
На Всесвітній конференції для розробників у червні Apple представила свої майбутні операційні системи, які були випущені восени: iOS 17, iPadOS 17 та macOS Sonoma. Як і щороку, вони містили нові функції безпеки та конфіденційності, такі як покращений приватний перегляд у Safari та спільний доступ до паролів і ключів. Також було багато інших покращень безпеки та конфіденційності, таких як режим блокування та профілі Safari, щоб ви могли відокремити робочий браузер від особистого браузера.
Apple презентувала Apple Vision Pro на WWDC
Компанія також представила світу Apple Vision Pro, нову гарнітуру доповненої і віртуальної реальності (AR/VR), яка дебютує на початку 2024 року. Починаючи з $3500, важко уявити, що модель першого покоління отримає широке розповсюдження. Тим не менш, буде цікаво поспостерігати за розвитком продукту, якщо Apple продовжить випускати оновлені моделі, а не зречеться його взагалі.
Поки що незрозуміло, як Vision Pro вплине на безпеку і конфіденційність. Імовірно, оскільки операційна система дуже схожа на інші продукти Apple, вона буде вразливою до багатьох з тих самих експлойтів, які використовуються проти iPhone, iPad і Mac, і, ймовірно, отримуватиме оновлення безпеки так само часто. І, звичайно, користувачам потрібно буде бути уважними, щоб не завантажувати шахрайські або потенційно шкідливі програми з App Store.
Липень
Запуск Threads; швидко імітується в App Store
На початку липня компанія Meta (власник Facebook та Instagram) запустила ще одну соціальну мережу. Вона отримала назву Threads і мала стати прямим конкурентом Twitter/X. Примітно, що вона ще не була доступна в ЄС. Ми писали про те, як керувати налаштуваннями безпеки та конфіденційності в Threads.
Невдовзі після запуску в App Store з’явився підроблений додаток Threads. Він був доступний в ЄС і пропонував надзвичайно дорогі покупки в додатку. Після громадського резонансу Apple видалила додаток з App Store.
У липні також був запущений WormGPT, чат-бот, схожий на ChatGPT, спеціально розроблений для використання кіберзлочинцями.
Серпень
Виявлено нову вразливість спекулятивного виконання, що впливає на комп’ютери Intel Mac – Downfall
Ще в січні 2018 року були виявлені вразливості Spectre та Meltdown – вразливості “спекулятивного виконання” в процесорах, які могли бути використані зловмисниками. У серпні 2023 року дослідник безпеки представив інформацію про схожу вразливість під назвою Downfall. Ця вразливість впливає лише на процесори Intel, тоді як всі нові комп’ютери Mac мають (непошкоджені) кремнієві чіпи Apple. Але старіші Mac потенційно вразливі.
Вересень
В Apple App Store з’явилися шахрайські та небезпечні додатки
Apple вже давно заявляє про безпеку купівлі додатків у своїх магазинах App Store, але шахрайські додатки в App Store стали постійною темою цього року. Багато з них – це кредитні програми, доступні в Індії та інших країнах Азії, але це підкреслює, наскільки мало Apple робить для того, щоб відсіяти шахрайські програми в своїх магазинах App Store.
Свого часу Intego наголошувала, що потрібно з великою обережністю ставитися до завантаження будь-яких додатків, навіть з магазинів App Store, які курують працівники Apple. Це стане ще більшою проблемою, якщо Apple буде змушена дозволити стороннім магазинам продавати додатки для iPhone та iPad.
Режим блокування тепер доступний у watchOS 10
У вересні в watchOS 10 вперше з’явився режим Lockdown Mode для Apple Watch, який став частиною watchOS 10. Тепер Apple Watch має такий самий режим підвищеної безпеки, який раніше підтримувався в macOS, iOS та iPadOS.
Режим блокування автоматично вмикається для будь-якого Apple Watch, підключеного до iPhone з увімкненим режимом блокування.
Жовтень
Старі Mac можна оновити (неофіційно) до macOS Sonoma
Як ми вже згадували вище, деякі старі Mac не отримують оновлення безпеки. Ми багато писали про те, як за допомогою стороннього програмного забезпечення можна встановити найновішу операційну систему Apple – в даному випадку, macOS Sonoma – на деякі дуже старі комп’ютери Mac, щоб вони продовжували отримувати патчі безпеки. Це проект вихідного дня, хоча він не такий вже й складний, завдяки спільноті користувачів, які хочуть, щоб їхні старі комп’ютери працювали з найновішою ОС.
Листопад
В Apple App Store та Google Play Store з’явилися фейкові додатки для чат-ботів xAI (Grok)
Не лише Apple розміщує фальшиві додатки в своїх магазинах додатків: І Google, і Apple були помічені в розміщенні фальшивих додатків для штучного інтелекту Grok Ілона Маска ще до того, як він був випущений. Через кілька днів після того, як ці програми були виявлені, Apple видалила їх, а Google – ні.
Грудень
Шахрайські електронні листи погрожують операторам сайтів і вимагають біткоїни
Ми виявили новий тип шахрайських електронних листів, які погрожують притягненням до відповідальності за несанкціоноване використання зображень на веб-сайтах. Лист написаний досить добре і звучить як справжній; люди, які керують веб-сайтами з великою кількістю зображень, можуть бути обмануті. Однак, впадає в око те, що відправник просить 500 доларів у криптовалюті. Ми провели деяке дослідження і виявили, що, оскільки ви можете отримати доступ до всіх транзакцій, записаних через блокчейн (хоча вони є анонімними), адреси Bitcoin та Ethereum були зареєстровані як шахрайські.
Apple продовжує постачати небезпечні інструменти з відкритим вихідним кодом в macOS
Apple недбало ставиться до оновлення деяких Unix-інструментів, що входять до складу macOS, два з яких мають критичні вразливості, які використовуються в дикій природі. Дослідження Intego показало, що це відбувалося протягом певного часу, коли Apple не оновлювала такі поширені інструменти, як curl, LibreSSL, zlib та nghttp2. У минулому Apple також продовжувала постачати вразливу версію Python в macOS протягом майже двох років після того, як вона востаннє була виправлена. Ці інструменти з відкритим вихідним кодом можуть бути використані будь-яким додатком, що працює на macOS, і вразливості в цих інструментах повинні бути виправлені якнайшвидше.
