Firma Apple udostępniła poprawki do swoich mobilnych systemów operacyjnych iOS i iPadOS, aby się przed nimi zabezpieczyć cztery nowo ujawnione wadyz których dwie są aktywnie wykorzystywane jako luki dnia zerowego, w ramach szerszej aktualizacji zawierającej także istotne nowe funkcje mające na celu ochronę iPhone’a i iPada przed przyszłymi kwantowe ataki cybernetyczne.
Dwa dni zerowe są śledzone jako CVE-2024-23225 i CVE-2024-23296. Pierwszym z nich jest problem z uszkodzeniem pamięci w jądrze urządzenia, przez który osoba atakująca, która uzyskała dowolną możliwość odczytu i zapisu jądra, może ominąć zabezpieczenia pamięci jądra. Drugi, w RTKit, czyli systemie operacyjnym czasu rzeczywistego używanym w różnych urządzeniach peryferyjnych Apple, takich jak Apple AirPod, Apple Pencil i Smart Keyboard Folio, wpływa na jądro w ten sam sposób.
Trzecia luka to problemy z dostępnością i prywatnością, w wyniku których aplikacja może odczytać dane o lokalizacji użytkownika, śledzone jako CVE-2024-23243 i przypisywane Cristianowi Dinca z Krajowej Wyższej Szkoły Informatyki Tudor Vianu w Bukareszcie w Rumunii.
Czwarta i ostatnia luka to problem logiczny wpływający na przeglądanie prywatne w przeglądarce Safari, przez który zablokowane karty przeglądarki użytkownika mogą na chwilę stać się widoczne podczas przełączania grup kart z włączoną funkcją zablokowanego przeglądania prywatnego. Jest śledzony jako CVE-2024-23256 i przypisywany badaczowi Omowi Kothawade’owi.
Jak zwykle w przypadku aktualizacji zabezpieczeń, firma Apple nie podała żadnych dalszych szczegółów technicznych ani exploitów dotyczących żadnego z naprawionych problemów.
Mike Walters, założyciel i prezes Akcja 1, specjalista ds. zarządzania poprawkami, powiedział: „Wprowadzono awaryjną aktualizację Apple dla systemu iOS zawierającą poprawki dwóch luk dnia zerowego wykorzystywanych w atakach ukierunkowanych na iPhone’y, najwyraźniej związanych z oprogramowaniem szpiegującym. Liczba dni zerowych w Jabłko’tegoroczne osiągnięcia zaczynają rosnąć i chociaż do ubiegłorocznego rekordu wynoszącego 20, wciąż daleko, tempo jest ustalone.
„Lista dotkniętych Jabłko urządzeń jest dość rozbudowany i obejmuje cały iPhone XS, iPhone 8, iPhone X, iPad 5. generacji, iPad Pro 9,7 cala, iPad Pro 12,9 cala 1. i 2. generacji, iPad Pro 10,5 cala, iPad Pro 11 cali 1. generacji , iPad Air 3. generacji, iPad 6. generacji, iPad mini 5. generacji i nowsze” – dodał. „Zdecydowanie zaleca się jak najszybsze zastosowanie aktualizacji”.
Skok kwantowy
Szersza aktualizacja iOS 17.4 to znaczący moment dla Apple w domenie cybernetycznej, dostarczający nowy protokół bezpieczeństwa iMessage, PQ3postkwantowy protokół kryptograficzny, który zapewnia kompleksowe bezpieczne przesyłanie wiadomości na swoich urządzeniach.
Michael Covington, wiceprezes ds. strategii w Jamf, opisał tę aktualizację jako jedną z najbardziej „fundamentalnych” aktualizacji zabezpieczeń iPhone’a, jakie kiedykolwiek widziano. „[It] zapewnia ogromny krok naprzód w zakresie ochrony wiadomości przed narzędziami hakerskimi nowej generacji” – powiedział.
„Dzięki PQ3 użytkownicy usługi iMessage firmy Apple mogą być bardziej pewni, że przesyłane dzisiaj dane będą w stanie przeciwstawić się atakom przeprowadzanym przy użyciu kwantowej mocy obliczeniowej, która będzie dostępna dla atakujących w przyszłości. Już sama ta funkcja świadczy o silnym zaangażowaniu Apple w ochronę prywatności użytkowników i o tym, że zawsze wyprzedza konkurencję”.
Szybki7 dyrektor ds. bezpieczeństwa Jaya Baloo dodał: „Przejście Apple na wykorzystanie protokołu PQ3 do kryptografii postkwantowej to krok naprzód w zakresie bezpieczeństwa i chroni komunikację przed przyszłymi zagrożeniami stwarzanymi przez komputery kwantowe.
„Ma wiele ciekawych właściwości, takich jak zabezpieczenia przed atakami typu „zbierz teraz, odszyfruj później” i szyfrowanie „poziomu 3”, zapewniając, że dane pozostaną bezpieczne pomimo przyszłego odszyfrowania lub naruszenia klucza. Jest to również duży postęp ze względu na ogólnoświatową społeczność użytkowników, którzy korzystają z poprawy swojej prywatności dzięki PQ3.
„Działania Apple mające na celu poprawę bezpieczeństwa i prywatności dla wszystkich poprzez ulepszenie iMessage i dodanie PQ3 zachęcą także więcej globalnych firm konsumenckich do przygotowania naszego bezpieczeństwa i prywatności na przyszłość postkwantową” – dodała.
iOS 17.4 zawiera także szereg innych funkcji, wiele z nich ma być zgodnych z wymogami Unii Europejskiej Ustawa o rynkach cyfrowych (DMA).
Zmiany te obejmują możliwość udostępniania przez zewnętrznych programistów alternatywnych rynków i pobierania aplikacji bez ograniczeń własnego sklepu Apple z aplikacjami na iOS; możliwość korzystania z innych przeglądarek innych niż WebKit, takich jak Chrome czy Firefox; oraz interfejs programowania aplikacji, który umożliwia programistom wykorzystanie istniejącego chipa NFC w iPhonie do płatności zbliżeniowych, które nie korzystają z Apple Pay ani Apple Wallet.
Inne, globalne funkcje obejmują nowe opcje tłumaczenia w aplikacji Podcasty i Siri, lepsze informacje o żywotności baterii, ulepszone rozpoznawanie muzyki i ponad 100 dodatków emoji.