iOS 18 и iPadOS 18 от Apple представляют множество различных улучшений и исправлений безопасности. Вот что вам нужно знать и почему вам следует рассмотреть возможность обновления прямо сейчас.
В понедельник Apple выпустила свои новейшие операционные системы iOS 18 и iPadOS 18, сделав их наконец доступными для широкой публики. Хотя сами обновления представляют собой набор новых функций, они также содержат множество важных исправлений безопасности.
Как и в каждом крупном обновлении iOS, iOS 18 исправляет основные проблемы безопасности, связанные с различными функциями и аспектами операционной системы. Многие из исправлений, представленных в понедельник, не позволяют злоумышленникам, приложениям и неавторизованным пользователям получать доступ к конфиденциальной информации пользователя, такой как контактные данные или фотографии.
iOS 18 представляет различные исправления безопасности, связанные с доступностью. Эти теперь исправленные уязвимости, связанные с доступностью, давали злоумышленникам с физическим доступом к заблокированным устройствам способы доступа к конфиденциальным данным пользователя.
Одна из вышеупомянутых уязвимостей Accessibility позволяла злоумышленникам использовать Siri как средство сбора конфиденциальных данных, а другая позволяла злоумышленникам управлять близлежащими устройствами через функции Accessibility. Обе проблемы безопасности были исправлены Apple с помощью «улучшенного управления состоянием».
Дополнительная проблема безопасности позволила злоумышленникам использовать Assistive Access для просмотра последних фотографий без аутентификации. Apple устранила эту уязвимость Accessibility в iOS 18, ограничив возможности, предлагаемые на заблокированном устройстве.
Исправления безопасности в iOS 18, которые сохранят ваши данные в безопасности
Control Center получил исправление для проблемы безопасности, которая позволяла приложениям записывать экран без отображения соответствующего индикатора в строке состояния, что означало, что пользователи могли не знать, что их экран был записан. Apple исправила эту проблему безопасности, используя «улучшенные проверки».
У FileProvider и Game Center были проблемы безопасности, которые позволяли приложениям получать доступ к конфиденциальным данным пользователя. Apple решила проблему FileProvider в iOS 18, применив улучшенную проверку символических ссылок, и исправила проблему доступа к файлам Game Center с помощью улучшенной проверки.
Центр управления обновлен и исправлен для известных уязвимостей.
Проблема конфиденциальности в приложении Mail, обнаруженная Родольфом Брунетти, означала, что приложения могли получать доступ к контактной информации пользователя. Apple решила эту проблему с помощью «улучшенного редактирования личных данных для записей журнала».
Проблема безопасности Sandbox, обнаруженная Csaba Fitzl из Offensive Security, позволяла приложениям допускать утечку конфиденциальной пользовательской информации. iOS 18 устраняет эту проблему с помощью улучшенной защиты данных. Аналогично, проблема с разрешениями Transparency позволяла приложениям получать доступ к конфиденциальным пользовательским данным. Apple решила эту проблему с помощью дополнительных ограничений.
Функции безопасности iOS 18 предотвращают атаки типа «отказ в обслуживании»
Некоторые из уже исправленных уязвимостей позволяли злоумышленникам осуществлять так называемые атаки типа «отказ в обслуживании» или DoS.
Проблема с mDNSresponder означала, что приложения могли вызвать отказ в обслуживании, в то время как проблемы ImageIO и ModelI/O означали, что обработка изображения могла вызвать отказ в обслуживании. Удаленные злоумышленники также могли вызвать отказ в обслуживании через ранее неисправленную проблему безопасности сотовой связи.
iOS 18 устраняет логическую ошибку mDNSResponder посредством улучшенной обработки ошибок, в то время как проблема Cellular была устранена посредством улучшенного управления состоянием. Улучшенная проверка границ исправила проблему ImageIO, в то время как проблема безопасности ModelI/O была устранена третьей стороной, поскольку она связана с программным обеспечением с открытым исходным кодом.
Safari получил исправления для двух отдельных уязвимостей, обнаруженных Кеннетом Чу и Анамикой Адхикари, которые обе позволяли получить доступ к вкладкам частного просмотра без предварительной аутентификации. Две проблемы безопасности были исправлены Apple в iOS 18 и iPadOS 18 посредством улучшенного управления состоянием.
Две уязвимости WebKit, связанные с вредоносным веб-контентом, также были исправлены в iOS 18. Одна из проблем безопасности позволяла вредоносным веб-сайтам извлекать данные из кросс-источников, в то время как другая означала, что обработка вредоносного веб-контента могла привести к универсальному кросс-сайтовому скриптингу. Последнее было исправлено путем улучшенного управления состоянием, в то время как первое было решено путем «улучшенного отслеживания источников безопасности».
Аналогично, проблема безопасности libxml2 означала, что обработка вредоносного веб-контента могла привести к неожиданному сбою процесса. Для этой проблемы Apple исправила целочисленное переполнение, улучшив проверку ввода.
Проблема безопасности, связанная с WiFi, также была исправлена в iOS 18. Теперь решенная проблема безопасности позволяла злоумышленникам принудительно отключать устройство от защищенной сети. Apple исправила эту проблему целостности в iOS 18 с помощью «Beacon Protection».
В iOS 18 представлен новый режим чтения для Safari, а также добавлены некоторые важные исправления безопасности.
Андрей Литвинов сообщил Apple об отдельной проблеме с логикой, связанной с ядром, которая позволяла сетевому трафику выходить за пределы туннеля VPN. Apple исправила эту проблему с логикой с помощью «улучшенных проверок».
Аналогично, проблема NetworkExtension позволяла приложениям получать несанкционированный доступ к локальной сети устройств. Как и в случае со многими другими проблемами безопасности в этом списке, Apple исправила эту проблему, улучшив управление состоянием.
Siri также получила два важных исправления безопасности. Одно из них устраняет уязвимость, которая ранее давала приложениям доступ к конфиденциальной информации пользователя. Другое исправление не позволяет злоумышленникам с физическим доступом просматривать контакты пользователя через экран блокировки.
Bluetooth и другие исправления безопасности iOS 18
Несколько исследователей сообщили о проблеме безопасности, связанной с ядром, которая давала приложениям несанкционированный доступ к функции Bluetooth. Как и в случае с ранее упомянутыми уязвимостями для Safari, проблема была решена с помощью «улучшенного управления состоянием».
Другая проблема, связанная с Bluetooth, позволяла вредоносным устройствам ввода Bluetooth обходить сопряжение. Улучшенное управление состоянием устраняет эту проблему в iOS 18.
UIKit получил исправление безопасности, которое устраняет уязвимость, которая ранее позволяла злоумышленникам вызывать неожиданное завершение работы приложения. Apple решила эту проблему в iOS 18, применив улучшенные проверки границ.
Полный список обновлений и исправлений безопасности для iOS 18 и iPadOS 18 можно увидеть на веб-сайте безопасности Apple. Наряду с уже упомянутыми исправлениями безопасности Apple также решила ряд других проблем, связанных с IOSurfaceAccelerator, Notes, Printing и многим другим.
Важно всегда поддерживать вашу операционную систему в актуальном состоянии, поскольку последние исправления безопасности от Apple значительно усложняют злоумышленникам задачу получения доступа к вашим личным данным пользователя.