עיקרי תוֹכנָה פריצת צוות ה-Hacking מגלה מדוע לא כדאי לפרוץ את האייפון שלך
תוֹכנָה

פריצת צוות ה-Hacking מגלה מדוע לא כדאי לפרוץ את האייפון שלך

חדשות פרצה מסיבית בנתונים הפרטיים של חברה שמוכרת תוכנה לממשלות כדי לרגל אחר תקשורת מראה שמכשירי אייפון שבורים בכלא פגיעים. תורם בכיר, TabletS 6 ביולי 2015 9:20 בבוקר PDT

חברה איטלקית עם השם המתאים Hacking Team ספג פריצה מסיבית בנתוני החברה שלה ביום ראשון, ו-400GB של מסמכים פנימיים עד כה פורסמו והם מנותחים על ידי כתבים וחוקרי אבטחה. לקוחות ה-Hacking Team הם סוכנויות ממשלתיות, כולל אכיפת חוק וביטחון לאומי, והתוכנה החוקית לכאורה שהיא מוכרת כדי לעזור להם ליירט תקשורת כוללת נקודות תורפה שטרם נוצלו, הידועות כ-zero-days.

עלו השערות רבות לפני ואחרי שחרורו של אדוארד סנודן של שלל מסמכים של הסוכנות לביטחון לאומי (NSA) ב-2013 לגבי היכולות של סוכנויות ארצות הברית כמו גם של בעלי ברית ואויבים. ה-Hacking Team dump חושף לא מעט יותר על הפונקציות השגרתיות של ספקי צד שלישי לתוך אותה מערכת אקולוגית, כולל יכולות שנמנו במיוחד.

לכן, משתמשי iOS צריכים לשים לב שהחשש ארוכות השנים שמכשירי אייפון ואייפד שבורים בכלא היו רגישים לפגיעויות שעלולות לכלול גישה של מה שנקרא שחקנים ממלכתיים נראה מאושר על ידי הפרת הנתונים.



כיצד לנקות אפליקציות באייפד

שתי תלבושות אבטחה - מעבדת קספרסקי המסחרית ברוסיה ומעבדת האזרח האקדמית בקנדה - נחשף לראשונה ביוני 2014 שהם גילו ופיענחו את תוכנת הפיצוח בסמארטפונים של Hacking Team. הדיווחים באותו זמן הצביעו על כך שניתן לחטוף רק מכשירי iOS שבורים בכלא, אך ניתן להתקין תוכנה זדונית במכשיר iOS כאשר הוא מחובר למחשב שאושר כאמין, ואשר נפרץ.

הניתוח החיצוני הזה הושלם כעת על ידי המסמכים הפנימיים של צוות הפריצה. אחד רשימת מחירים מציג תג מחיר של 50,000 אירו (56,000 דולר) במודול חטטנות של iOS עם ההערה, תנאי מוקדם: מכשיר ה-iOS חייב להיות שבור בכלא.

נראה שהחשש ארוך השנים שמכשירי אייפון ואייפד שבורים בכלא היו רגישים לפגיעויות שעלולות לכלול גישה של מה שנקרא שחקנים ממלכתיים מאושר.

בעוד שפריצת מכשיר iOS לצורך התקנת תוכנה הייתה אופציה מבוקשת ללא הרף, וכזו שמתוקנת כל הזמן על ידי גורמים שונים כאשר אפל מתקנת את הניצולים המאפשרים זאת, תמיד הייתה גם ידיעה שפריצת ג'יל הופכת את האייפון או האייפד לפגיעים. אפל בהחלט מגינה על המערכת האקולוגית שלה, אבל החוקרים מסכימים שהיא גם מגינה על שלמות המערכת.

ניק DePetrillo, חוקר אבטחה ראשי ב-Trail of Bits, אומר, שפריצת ה-Jailbreaking של ה-iPhone שלך ​​מפעילה קוד ניצול לא מהימן של צד שלישי בטלפון שלך שמנטרל את תכונות האבטחה של ה-iPhone שלך ​​כדי לתת לך את היכולת להתאים אישית את הטלפון שלך ולהוסיף יישומים אפל לא מאשרת.

האם לאייפד פרו יש מגע תלת מימדי

DePetrillo אינו נוקט עמדה בנוגע ל-Hacking Team או לטעינת אפליקציות, אך מציין כי מנקודת מבט אבטחה, תוכנת פריצת הג'יל העדכנית נועדה לטשטש את אופן פעולתה, מגיעה מצוותים הממוקמים מחוץ לארצות הברית ומשביתה מספר תכונות אבטחה.

למרות שלכאורה התקנת התוכנה הזדונית במכשיר iOS שבור בכלא תצריך גישה פיזית, הניצול הקשור של פריצת jail via תוכנות זדוניות המותקנות במחשב מהימן יאפשר לעקוף את המגבלה הזו.

כמה עולה איירפודס בקוסטקו

חוקרים מצאו עד כה גם של-Hacking Team יש אפל לגיטימית תעודת חתימה ארגונית , המשמשת ליצירת תוכנה שניתן להתקין על ידי עובדי חברה אשר מקבלים או התקינו גם פרופיל המאפשר שימוש באפליקציות החתומות על ידי התעודה. הוכח בנובמבר האחרון שאישור ארגוני בשילוב עם מכשיר iOS שבור בכלא יכול לשמש כדי לעקוף הגנות iOS בהתקנת אפליקציות. בנוסף, Hacking Team פיתחה אפליקציית דוכן עיתונים זדונית שיכולה ללכוד הקשות ולהתקין את תוכנת הניטור שלה.

בקצת אירוניה מדהימה, ל-Hacking Team נחטפו רבים מהחשבונות המקוונים שלו במדיה חברתית ובאתרים אחרים בגלל בחירת סיסמאות לקויה, ואחסון סיסמאות בצורות שניתן לקרוא בקלות על ידי כל גורם שביצע את הפרת הנתונים.

מה אתה יכול לעשות כדי להגן על עצמך מפני Hacking Team ותוכנות דומות? רוב האנשים אינם בסכנה שתשתמש בתוכנה זו נגדם, מכיוון שהגישה של Hacking Team מתמקדת במכשירים בודדים ולא ביירוט המוני. (חברות וסוכנויות אחרות עובדות על זה.) אבטחת ה-iOS של אפל ככל הנראה טובה מספיק, כך שרק טלפון שבור בכלא או מק נפגע שאליו מחובר מכשיר iOS הם וקטורים לניצול.

האם לעולם לא כדאי לחבר אייפון או אייפד למק וללחוץ על אמון כשתתבקש? קשה לומר אף פעם, אלא אם כן אתה בסכנת תגמול על הפעילות הפוליטית שלך בארצך. ידוע שממשלות משתמשות בטכניקות מסוג זה כדי לאתר אנשים בעלי עניין, מכיוון ששימוש נרחב עלול לחשוף אותם, ולאפשר ליצרני מערכות הפעלה ותוכנות אחרות להגן מפניהם.

אתה יכול לדמיין שכל דבר שנחשף בהפרה זו יהפוך למספוא עבור אפל, גוגל ואחרות לתיקון בכל מקום אפשרי.