Firma Apple zachęca do jak najszybszej aktualizacji systemu iOS. Chodzi o bezpieczeństwo iOS 14.8 Pegasus.
Firma Apple wydała na początku tego tygodnia aktualizacje zabezpieczeń dla swoich iPhone'ów, iPadów, zegarków Apple Watch i komputerów Mac, które usuwają lukę podobno wykorzystywaną przez inwazyjne oprogramowanie szpiegujące stworzone przez izraelską firmę zajmującą się bezpieczeństwem, NSO Group.
W poniedziałek gigant technologiczny udostępnił łatkę bezpieczeństwa dla iOS 14.8 i iPadOS 14.8, w której stwierdzono, że niektóre złośliwe pliki PDF mogą wykorzystywać jego systemy operacyjne. „Przetwarzanie złośliwie spreparowanego pliku PDF może prowadzić do wpisania dowolnego kodu” — czytamy w wiadomości. „Apple wie o raporcie, że ten problem mógł być aktywnie wykorzystywany”.
Firma Apple wydała również WatchOS 7.6.2, MacOS Big Sur 11.6 oraz aktualizację zabezpieczeń dla MacOS Catalina, aby usunąć lukę.
Poprawka, o której wcześniej informował The New York Times, wynika z badań przeprowadzonych przez grupę zajmującą się cyberbezpieczeństwem o nazwie Citizen Lab, która odkryła, że telefon saudyjskiego aktywisty został zainfekowany Pegasusem, najbardziej znanym produktem NSO. Według Citizen Lab, wykorzystano aplikację iMessage, by kierować biblioteką renderowania obrazu Apple i skutecznie wykorzystać to działanie przeciwko iPhonom, laptopom i zegarkom Apple.
Citizen Lab, z siedzibą na Uniwersytecie w Toronto twierdzi, że NSO wykorzystało tę lukę do zdalnego infekowania urządzeń swoim oprogramowaniem szpiegującym Pegasus, dodając, że exploit jest używany od co najmniej lutego. Wezwał wszystkich użytkowników Apple do natychmiastowej aktualizacji swoich systemów operacyjnych.
„Wszędobylskie aplikacje do czatu stały się głównym celem najbardziej wyrafinowanych cyberprzestępców, w tym operacji szpiegowskich państw narodowych i najemnych firm szpiegujących, które je obsługują” – powiedział Citizen Lab w raporcie. „Jak zaraportowano obecnie, wiele aplikacji do czatu stało się nieodpartym, łatwym celem”.
Aktualizacja zabezpieczeń została wdrożona na dzień przed tym, jak Apple zaprezentowało nowe produkty, w tym iPady, zegarki Apple i iPhone'y. Firma wykorzystała jesienny rollout urządzeń, który jest jednym z najważniejszych corocznych wydarzeń firmy, aby zachwalać swoje środki bezpieczeństwa. Mówiąc, że prywatność jest „wbudowana od samego początku”, a nadchodząca wersja jego oprogramowania na iOS zablokuje trackery i uniemożliwi monitorowanie poczty e-mail, a także inne potencjalnie niebezpieczne działania.
Apple podziękował Citizen Lab za udostępnienie próbki exploita, który według producenta iPhone'a nie stanowił zagrożenia dla większości jego użytkowników.
„Ataki, takie jak te opisane, są wysoce wyrafinowane, kosztują miliony dolarów, często mają krótki okres trwałości i są wykorzystywane do atakowania konkretnych osób” – powiedział w oświadczeniu Ivan Krstić, który zarządza operacjami inżynierii bezpieczeństwa i architektury Apple. „Chociaż oznacza to, że nie stanowią one zagrożenia dla przeważającej większości naszych użytkowników, niestrudzenie pracujemy nad obroną wszystkich naszych klientów i stale dodajemy nowe zabezpieczenia dla ich urządzeń i danych”.
W lipcu badacze znaleźli dowody na próby lub udane instalacje Pegasusa na 37 telefonach aktywistów, dziennikarzy i biznesmenów. Wszystkie urządzenia poza trzema były iPhonami. Wydaje się, że niektórzy ludzie byli celem tajnej inwigilacji za pośrednictwem Pegasusa, oprogramowania, które ma być wykorzystywane do ścigania przestępców i terrorystów. Podobno oprogramowanie szpiegujące może uzyskiwać dostęp i nagrywać teksty, filmy, zdjęcia i aktywność w sieci, a także pasywnie rejestrować i zbierać hasła na urządzeniu.
Zapomnij o hasłach! Microsoft ma nowy pomysł
Musimy pamiętać wiele haseł – do konta bankowego, firmy ubezpieczeniowej, profili w mediach społecznościowych itd. Od dziś Twoje konto Microsoft nie musi być jednym z nich.
Firma poinformowała w środę, że oficjalnie wycofuje pisane hasła do kont osobistych, w tym do Outlooka, OneDrive i Family Safety. Konta firmowe są uprawnione do logowania bez hasła od marca.
Zmiana nadchodzi, gdy cała branża IT ponownie zastanawia się, jak rozwiązać problem, który istnieje od dziesięcioleci – czyli zapominanie własnych haseł, co powoduje dodatkowe koszty i bóle głowy zarówno dla firm, jak i klientów.
„Wiemy, że ludzie nienawidzą haseł” - powiedział Vasu Jakkal, wiceprezes firmy Microsoft ds. bezpieczeństwa, zgodności i tożsamości, w oświadczeniu przesłanym pocztą elektroniczną. „Trzydzieści procent osób stwierdziło, że po prostu przestało korzystać z konta lub usługi, do której próbowali się zalogować, zamiast zajmować się resetowaniem hasła”.
Innym dużym problemem związanym z hasłami jest to, że ludzie używają ich ponownie w witrynach i aplikacjach. Gdy hakerzy zdobędą jedno hasło, włamując się na serwery firmy, łatwiej jest im włamać się na wiele kont. Cyberprzestępca może oszukać kogoś podczas ataku phishingowego lub kupić hasła w darkwebie. Microsoft twierdzi, że co sekundę ma miejsce 579 ataków na hasła, czyli 18 miliardów rocznie.
Oto kilka kroków co na leży zrobić, by zrezygnować z hasła:
- Pobierz aplikację Microsoft Authenticator i zaloguj się na swoje konto. (Może być konieczne włączenie powiadomień i Touch ID dla aplikacji). Następnie przejdź do account.microsoft.com i zaloguj się ponownie.
- W witrynie microsoft.com wybierz Zabezpieczenia → Zaawansowane opcje zabezpieczeń → Dodatkowe opcje zabezpieczeń → Konto bez hasła → Włącz.
- Gdy to zrobisz, wróć do aplikacji Authenticator, zatwierdź powiadomienie i ciesz się, że jesteś o krok bliżej „przyszłości bez haseł”!
