Обновитесь до iOS 12.4

Советуем обновиться до iOS 12.4: в iMessage нашли шесть уязвимостей, которые позволяют удаленно выполнять код и воровать данные без каких-то действий со стороны пользователя.

Обновлять операционную систему на iPhone или iPad, как только обновление становится доступно, — это в принципе хорошая идея. Почти в каждой новой версии iOS содержатся заплатки для тех или иных багов, найденных в предыдущих версиях.

Однако в этот раз обновиться особенно важно: iOS 12.4 исправляет шесть серьезных уязвимостей в iMessage, которые позволяют удаленно взломать Айфон, — при этом никаких неосторожных действий со стороны пользователя не потребуется.

Эти шесть уязвимостей в iOS были найдены Наталией Сильванович и Сэмуэлем Гроссом, членами команды Google по поиску уязвимостей под названием Project Zero. Судя по опубликованным данным, эти баги позволяют атакующему удаленно выполнить вредоносный код на устройстве, причем без каких-то действий со стороны пользователя. Все, что требуется сделать атакующему, — это отправить специально созданное вредоносное сообщение на телефон жертвы.

За это ответственны четыре из шести уязвимостей, найденных исследователями. Еще две позволяют воровать файлы со взломанного устройства и считывать данные из его памяти.

Будучи собранными в один комплект, эти шесть уязвимостей дают возможность атакующему завладеть любыми данными на айфоне — без всяких кликов по подозрительным ссылкам, загрузки непонятных файлов и прочих действий пользователя, традиционно считающихся опасными.

Еще более неприятно, что, поскольку для iOS не существует антивирусов, потенциальной жертве было бы крайне сложно не только предотвратить подобный взлом, но даже просто заметить на своем айфоне подозрительную активность.

Такие уязвимости находят редко, и поэтому они очень ценны для хакеров. Например, в «прайс-листе» компании Zerodium, которая занимается торговлей особо ценными эксплойтами, вознаграждение за баги такого уровня составляет до $1 000 000 — за каждый. Несколько багов, дополняющих друг друга, могут стоить даже больше, чем они же, но по отдельности. Исходя из этого, в ZDNet оценили примерную стоимость «комплекта» уязвимостей, найденных Сильванович и Гроссом, в $5–10 миллионов.

Исследователи пока придержали информацию по одной из шести найденных уязвимостей, поскольку считают, что ее не устранили в iOS 12.4. Сильванович и Гросс собираются выступить с докладом на конференции Black Hat USA, где они раскроют детали по остальным пяти багам, а также продемонстрируют, как они могут быть использованы на практике.

Так или иначе, лучшее, что каждый пользователь мобильных устройств Apple может сделать прямо сейчас, — это не откладывая обновить операционную систему до версии iOS 12.4. Со следующим апдейтом также не стоит мешкать — вероятно, в нем будут исправлены оставшиеся проблемы, связанные с вышеописанными уязвимостями.

  • Чтобы обновить iOS зайдите в Настройки -> Основные -> Обновление ПО и нажмите Загрузить и установить.

  • Чтобы вовремя узнавать об уязвимостях и прочих угрозах, которые касаются именно вас, установите Kaspersky Security Cloud.
Советы