Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Dziury w urządzeniach Apple'a. Przestępcy już je wykorzystują

Recommended Posts

Apple opublikował poprawki dla trzech dziur zero-day w systemach operacyjnych iPhone'a, iPada oraz Apple TV. Dziury znajdujące się w iOS, iPadOS oraz tvOS były aktywnie wykorzystywane przez cyberprzestępców. Poprawiono je wraz z wersjami 14.4 wszystkich wspomnianych systemów.

Luka CVE-2021-1782 pozwalała złośliwym aplikacjom na zwiększenie uprawnienie. To dziura typu race condition. Takie luki występują, gdy program dopuszcza wykonanie wielu operacji jednocześnie, a wynik zależy od właściwej kolejności ich wykonywania. Przestępcy, zaburzając tę kolejność, mogą wywołać pojawienie się błędu i go wykorzystać.

Z kolei CVE-2021-1871 i CVE-2021-1870 występują w silniku przeglądarki WebKit dla iPadOS-a oraz iOS-a. Dziury pozwalają napastnikowi na wykonanie dowolnego kodu.

Dziury występują w urządzeniach iPhone 6s i nowszych, iPad Air 2 i nowych, iPad mini 4 i nowszych, iPod touch 7. generacji, Apple TV 4K oraz Apple TV HD. Producent odmówił podania informacji, jak wiele urządzeń padło ofiarą cyberprzestępców.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Apple ogłosiło, że ostatni kwartał był najbardziej zyskownym w całej historii firmy. Koncern osiągnął wielomiliardowe zyski dzięki gwałtownie rosnącej sprzedaży smartfonów, tabletów i laptopów. W ciągu ostatnich trzech miesięcy ubiegłego roku firma sprzedała towary i usługi o łącznej wartości 111,4 miliarda USD, osiągając zysk w wysokości 28,7 miliarda dolarów. To o 29% więcej niż w analogicznym okresie ubiegłego roku.
      Do osiągnięcia rekordowych wyników przyczyniła się świetna sprzedaż w okresie świątecznym napędzana w dużej mierze przez najnowszy model iPhone'a. W ciągu trzech miesięcy klienci kupili iPhone'y o łącznej wartości 65,6 miliarda USD. Oznacza to 17-procentowy wzrost rok do roku.
      Świetne wyniki zanotował też wydział usługowy, w skład którego wchodzi AppStore oraz jednostki zajmujące się udzielaniem licencji. Tutaj przychody wyniosły 15,76 miliarda USD, czyli były o 24% wyższe, niż przed rokiem. Wartość sprzedaży Apple Watch i produktów domowych wzrosła o 29% do kwoty 12,97 miliardów USD, a na komputery Mac klienci wydali 8,86 miliarda dolarów, czyli o 21% więcej niż przed rokiem.
      Dyrektor firmy, Tim Cook, powiedział, że sprzedaż byłaby jeszcze wyższa gdyby nie pandemia, z powodu której czasowo zamknięto niektóre firmowe sklepy.
      Apple nie jest jedynym przedsiębiorstwem z branży IT, które pochwaliło się świetnymi wynikami. Microsoft poinformował, że w ciągu ostatniego kwartału wartość jego sprzedaży wyniosła 43,1 (wzrost rdr o 17%) miliardów USD, a firma osiągnęła zysk netto w wysokości 15,5 miliarda USD (wzrost o 33%). O bardzo dobrym kwartale poinformował też Facebook, do którego kasy wpłynęło 28 miliardów dolarów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Thomas Moyer, szef Apple'a ds. bezpieczeństwa oraz dwóch policjantów z Biura Szeryfa Hrabstwa Santa Clara zostało oskarżonych o przekupstwo. Moyer, zastępca szeryfa Rick Sung oraz kapitan James Jensen oraz lokalny przedsiębiorca Harpreet Chadha zostali oficjalnie oskarżeni o przekupstwo związane z wydaniem pozwolenia na broń pracownikom Apple'a.
      Jak czytamy w akcie oskarżenia, Sung i Jensen celowo opóźniali wydanie czterem pracownikom Apple'a zgody na noszenie broni w sposób niewidoczny dla otoczenia (CCW). Zgodzili się na wydanie zezwoleń dopiero, gdy Moyer zaoferował biuru szeryfa 200 iPadów. Umowa nie doszła jednak do skutku, gdyż w ostatniej chwili Sung i Moyer dowiedzieli się, że prokurator okręgowy Jeff Rosen nakazał przeprowadzenie śledztwa ws. działań policji z Santa Clara. W ramach śledztwa wydano też nakaz przeszukania biura, celem sprawdzenia procedury wydawania zezwoleń na ukryte noszenie broni. Hrabstwo Santa Clara jest jednym z zaledwie trzech kalifornijskich hrabstw, w których zdobycie pozwolenia CCW jest niemal niemożliwe. Uzyskać mogą je osoby, którym ktoś groził śmiercią. W wyniku przeprowadzonego śledztwa Rosen oskarżył Sunga i Jensena o to, że traktowali zgodę na CCW jako przedmiot handlu i szukali ludzi, którzy są skłonni za takie zezwolenia zapłacić.
      Jednym z tych ludzi jest wspomniany biznesmen Harpreet Chadha. Prokurator oskarża go, że w zamian z zezwolenie na broń przekazał on obu policjantom bilety na wydarzenia sportowe. Biznesmen wydał 6000 USD na najlepsze miejsce na stadionie.
      Prokurator mówi, że ani Moyer ani Chadha nie powinni przyjmować propozycji od policjantów i powinni natychmiast poinformować o takiej propozycji biuro prokuratora.
      Obrońcy Moyera i Chadhy twierdzą, że ich klienci są ofiarami i nie powinni zostać oskarżeni. Przedstawiciele Apple'a stwierdzili, że firma przeprowadziła własne śledztwo w tej sprawie i nie stwierdziło, by ktoś postępował niewłaściwie.
      Oskarżeni staną przed sądem 11 stycznia. Grozi im kara więzienia.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      David Tate z Laceys Creek w Queensland znalazł po powrocie do domu 2 węże, które wpadły do środka przez dziurę w dachu; jeden pełzał tuż przy frontowych drzwiach, drugi po sypialni. Wydaje się, że dwa samce Morelia spilota mcdowelli walczyły o samicę (tej jednak nie znaleziono) i sufit nie wytrzymał ich ciężaru.
      Jak podkreśla Steven Brown, łapacz węży (Brisbane North Snake Catchers and Relocation), węże miały wyjątkowe rozmiary: mierzyły 2,8 i 2,5 m.
      Tate podkreślił, że widział wcześniej pytony wygrzewające się w słońcu na dachu. Gdy wróciłem do domu, na kuchennym stole leżał pokaźny fragment sufitu - powiedział Australijczyk w wywiadzie udzielonym The Courier-Mail.
      Zorientowawszy się w sytuacji, mężczyzna zadzwonił po łapacza węży. Nie chciałem ich, oczywiście, dotykać.
      Brown, który niezamierzenie zyskał międzynarodową sławę, zamieścił fotorelację z interwencji na swoim profilu na Facebooku.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Apple nie musi płacić irlandzkiej skarbówce 13 miliardów euro podatków. Taki wyrok wydał Sąd UE, który stwierdził, że Komisja Europejska, która w 2016 roku nakazała amerykańskiemu koncernowi zapłacenie wspomnianej kwoty, nie udowodniła, że doszło do naruszenia prawa. Od decyzji KE odwołał się zresztą nie tylko Apple, ale również rząd Irlandii.
      Sprawa nie dotyczyła tego, ile mamy zapłacić, ale czy w ogóle musimy płacić, oświadczyli przedstawiciele Apple'a po korzystnym dla siebie wyroku. Jesteśmy dumni z faktu, że jesteśmy drugim największym płatnikiem podatków na świecie. Wiemy, jak ważną funkcję społeczną spełniają podatki, dodali.
      Rząd Irlandii oświadczył, że zawsze było jasne, iż Apple nie był specjalnie traktowany przez irlandzką skarbówkę. Firma została obciążona prawidłową wysokością podatków, zgodną z irlandzkim prawem podatkowym, stwierdził Dublin. Przedstawiciele Komisji Europejskie poinformowali, że po zapoznaniu się z uzasadnieniem wyroku zdecydują o podjęciu dalszych kroków. Pozostało im jeszcze odwołanie się do Europejskiego Trybunału Sprawiedliwości.
      Cała sprawa rozpoczęła się, gdy Komisja Europejska stwierdziła, iż Irlandia pozwoliła Apple'owi na transfer niemal całych zysków z terenu UE i uniknięcie dzięki temu płacenia podatków. KE uznała to za nielegalną pomoc udzieloną koncernowi. Irlandia, w której obowiązują jedne z najniższych podatków korporacyjnych w Europie, jest bazą dla działalności Apple'a na terenie Europy, Afryki i Bliskiego Wschodu.
      Teraz Sąd UE, druga najwyższa instancja sądownicza Unii, stwierdził, że brak jest dowodów, by Apple miało jakiekolwiek preferencje podatkowe.
      Takie orzeczenie to zła wiadomość dla tych, którzy walczą z transferami zysków przez wielkie korporacje. Europejska komisarz ds. konkurencyjności, Margrethe Vestager, w znacznej mierze skupia się na walce z  transferami zysków, twierdząc, że jest to działanie sprzeczne z zasadą konkurencyjności. Obecne orzeczenie sądowe to jej kolejna porażka. W ubiegłym roku sąd orzekł, że Starbucks nie musi płacić 30 milionów euro rzekomo zaległych podatków w Holandii. Wkrótce zapadną też wyroki ws. podatkowych Ikei i Nike'a.
      Zwycięstwo Apple'a pokazuje, że europejskie sądy nie są skłonne uznawać korzystnych przepisów podatkowych za niedozwoloną pomoc, nawet jeśli przepisy te mają na celu przyciągnięcie zagranicznych inwestycji, o ile są one stosowane konsekwentnie wobec wszystkich. To bardzo dobra wiadomość dla innych korporacji ponadnarodowych, które blisko przyglądały się tej sprawie, mówi Jason Collins, specjalista ds. prawa podatkowego z firmy Pinsent Masons.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Najpopularniejsze domowe rutery zawierają poważne luki bezpieczeństwa, ostrzegają specjaliści z Instytutu Fraunhofera. Peter Weidenbach i Johannes vom Dorp przeanalizowali pod kątem bezpieczeństwa 127 popularnych domowych ruterów i odkryli, że większość z nich zawiera co najmniej 1 krytyczną dziurę, a w wielu z nich znaleziono setki znanych luk. Jakby tego było mało, średnia liczba krytycznych dziur na ruter wynosiła aż 53, a nawet najbezpieczniejszy z ruterów miał 21 znanych wcześniej luk.
      Eksperci przeanalizowali rutery m.in. takich producentów jak Netgear, Linksys, D-Link, ASUS, TP-Link czy Zyxel. Sprawdzali je m.in. pod kątem aktualizacji, wersji systemu operacyjnego, obecności znanych dziur, technik ochrony zastosowanych przez producenta oraz częstotliwości ich aktualizacji, obecności prywatnych kluczy w firmware oraz obecności zakodowanych na twardo haseł dostępowych.
      Podsumowując, nasze analizy wykazały, że nie istnieje ruter bez błędów, a żaden producent nie wykonuje perfekcyjnej roboty pod kątem zabezpieczeń. Producenci muszą włożyć olbrzymi wysiłek w to, by rutery stały się równie bezpieczne jak komputery czy serwery, mówią autorzy badań.
      Co prawda użytkownicy ruterów często popełniają błędy podczas ich konfiguracji, ale to nie one są główną przyczyną, dla której rutery są podatne na ataki. Analiza jasno pokazała, że to producenci tych urządzeń, pomimo tego, że wiedzą o istniejących dziurach, lekceważą swoje obowiązki i dostarczają użytkownikom źle zabezpieczone urządzenia. To lekceważenie klienta najlepiej widać w wersji użytego systemu operacyjnego. Spośród 127 ruterów aż 116 korzystało z Linuksa. Linux może być bardzo bezpiecznym systemem. Problem jednak w tym, że w większości przypadków producenci instalowali w ruterach przestarzałe wersje oprogramowania, pełne dziur i niedociągnięć. Większość ruterów korzystała z kernela 2.6, który nie jest utrzymywany od wielu lat [ostatnia wersja tego jądra ukazała się w 2011 roku – red.]. To zaś wiąże się z duża liczbą krytycznych błędów w tych urządzeniach, napisali badacze.
      Kolejny problem to rzadkie aktualizacje firmware'u. Zbyt rzadkie niż być powinny. Nawet jednak odpowiednio częste aktualizacje nie rozwiązują problemów. Okazało się również, że producenci ruterów bardzo rzadko stosują popularne techniki zapobiegania atakom. Bywa nawet tak, że używają powszechnie znanych haseł, których użytkownik nie może zmienić. Jakby jeszcze tego było mało, okazuje się, że w firmware wielu ruterów znajdują się łatwe do pozyskanie prywatne klucze kryptograficzne. To zaś oznacza, że nawet gdy próbujesz zabezpieczyć swój ruter, to nie jest on bezpieczny.
      Nie wszyscy producenci ruterów w równej mierze lekceważą klienta. Badacze ocenili, że najlepiej zabezpiecza rutery firma AVM International, chociaż jej produkty również zawierały dziury. Także ASUS i Netgear wyróżniały się pozytywnie na tle innych. Firmy te częściej aktualizowały oprogramowanie swoich urządzeń i wykorzystywały nowsze, wciąż wspierane, wersje jądra Linuksa.
      Najgorzej zaś wypadły produkty D-Linka, Linksysa, TP-Linka oraz Zyxela.
      Szczegóły analizy można przeczytać w dokumencie Home router security report 2020 [PDF].

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...