На цьому тижні компанія Apple випустила версію iOS 14.5, яка тестувалася протягом останніх декількох місяців. Нова редакція операційної системи отримала кілька корисних нововведень, включаючи оновлені правила конфіденційності для додатків в App Store, а також функцію розблокування iPhone за допомогою смарт-годинника Apple Watch, що дозволяє розблокувати смартфон при носінні захисної маски.
Як виявилося, функціонал може становити ризик для безпеки та конфіденційності користувача.
Фахівець компанії ESET Джейк Мур виявив проблему, коли попросив свою восьмирічну дочку протестувати надійність функції. Дівчинка наділа маску і негайно отримала доступ до татового iPhone, просто змахнувши вгору екран.
“Мені прийшло повідомлення на мій годинник про те, що смартфон розблоковано, у мене була опція заблокувати телефон, але це легко пропустити, що надає зловмисникам ще один інструмент для експлуатації”, – пояснив Мур.
Журналіст видання Forbes Дейві Уайндер провів власний експеримент і виявив ту ж проблему. Як уточнюється на сайті підтримки Apple, “функція не використовує Face ID для розпізнавання і аутентифікації” і під час її активації розблокування відбуватиметься при виявленні “будь-якої особи в масці, коли годинник розблоковані і знаходяться поблизу”.
Безумовно, Apple подбала про різні захисні механізми, таких як пароль, функція розпізнавання зап’ястя або повідомлення про розблокування, що надходять на Apple Watch. Однак, зазначає Уайндер, вібрація під час повідомлення не завжди спрацьовує, і його легко не помітити.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ
Онлайн-шопінг у соцмережах: як не бути ошуканим?
Як таємно спілкуватися у месенджері Telegram на iOS та Android? ІНСТРУКЦІЯ
Як правильно вибрати ноутбук? ПОРАДИ
Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ
Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.
Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).
Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.
Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.