A rossz hír, hogy a kiberbűnözők az Apple mobil operációs rendszerét, az iOS-t is támadják. A jó hír, hogy az Apple komolyan veszi a problémát, és frissíti rendszerét.

A G DATA blogján is többször írtunk arról, hogy immár az Apple operációs rendszere sem mentes a támadásoktól (itt és itt, de itt is). A kiberbűnözők általában a legnépszerűbb operációs rendszereket támadják, de mostanra ez a trend megváltozott. Az iOS-t a felhasználók 27 százaléka használta 2021 márciusában világviszonylatban, míg az Android operációs rendszert 71,8 százalékuk.

Az Apple erősít a biztonságon

A G DATA szakembereinek értesülései szerint az Apple erősíteni kívánja a következő iOS verzió biztonságát a zero-click exploitot kihasználásának megnehezítésével.

Ezek olyan sérülékenységek, melyek segítségével egy támadó úgy veheti át az ellenőrzést az eszköz felett, hogy az áldozat interakciója egyáltalán nem szükséges hozzá.

Az ehhez hasonló sérülékenységek rendkívül keresettek, és népszerűek a bűnözők, de ugyanakkor a különböző titkosszolgálatok körében egyaránt. A sérülékenységeket zárt körben, erre szakosodott cégektől lehet megvásárolni. Az áruk sem elérhető tömegek számára, millió dolláros nagyságrendű árcédulát akaszthatnak rájuk – annak ellenére, hogy addig lehet használni, míg a gyártó nem javítja az adott sérülékenységet.

Egy ehhez hasonló sérülékenység lehet például, amikor egy speciálisan felépített iMessage (az Apple saját üzenetküldője) üzenetet küldenek a megcélzott telefonra, melynek segítségével a bűnözők lefuttathatnak egy kódot a telefonon.

Hasonló támadásokra már volt példa a múltban. 2016-ban az Egyesült Arab Emírségeknek dolgozó hackerek egy Karma nevű zero-click eszközt használtak arra, hogy több száz iPhone-ba betörjenek, onnan jelszavakat, emailcímeket, fotókat ellopjanak.

2020 végén ugyancsak egy zero-click exploit segítségével 37 újságíró iPhone-ját figyelték meg, hangfelvételeket készítettek a beszélgetésekről, hozzáférhettek a készüléken tárolt jelszavakhoz. A Google Project Zero biztonsági csapata is talált zero click sérülékenységeket, ezeket viszont még időben javította a gyártó, így nem tudták kihasználni a támadók.

A zero-click támadások megnehezítésére az Apple változtat a rendszerobjektumok manipulálásához szükséges eljáráson, a tervek szerint az iOS 14.5-ös verziójában lesz elérhető ez a változtatás (jelenleg a 14.4.2-es a legfrissebb változat). Az új szoftververzió kiadásának dátuma egyelőre ismeretlen, az Apple általában az őszi termékfrissítésre szokta a fontosabb frissítéseket időzíteni.

Android vagy iOS?

Az iOS az Android operációs rendszertől eltérően zárt forráskódú operációs rendszer, melyhez csak az Apple mérnökei férhetnek hozzá, és csakis ők módosíthatják. Az Android operációs rendszere ezzel szemben nyílt forráskódú operációs rendszer, ami azt jelenti, hogy a Google a telefonkészülék gyártóknak ingyenesen elérhetővé teszi az OS-t, hogy a saját készülékspecifikus megoldásokat telepítsék, a beállításokat megcsinálják.

Mivel sokkal többen használják az Android operációs rendszerét, a hackereknek sokkal kifizetődőbb, ha a népszerű operációs rendszer friss verzióit szedik szét, és keresik benne a gyenge pontokat. Az iOS készülékek viszont politikusok, cégvezetők, sztárok, újságírók körében népszerű eszközök, akiket sokkal nagyobb összegre lehet zsarolni vagy értékesebb zsákmányt lehet tőlük remélni.

Az is az Apple iOS felé tereli a bűnözőket, hogy a Google egyre jobban odafigyel az Android biztonságára. Például hamarosan a Google elérhetővé tesz egy olyan frissítési mechanizmust, melynek segítségével a biztonsági frissítéseket közvetlenül a felhasználók telepíthetik a készülékekre. Az eddigi gyakorlat szerint a biztonsági frissítéseket a készülék gyártóinak küldték el, akik azután hónapos késésekkel tették azokat elérhetővé a felhasználóknak.

Végül ne felejtsük el, hogy a támadók a kisebb ellenállás felé mozdulnak el, és legtöbben az átverés jellegű támadások segítségével igyekeznek átvenni az uralmat a készülékek felett. Vagyis hamarabb érkezik egy átverős SMS a készülékre, mint hogy millió dollárokért vásárolt eszközök segítségével törjenek be. Ezért javasoljuk, hogy mindenki telepítsen egy biztonsági megoldás mobileszközére is.