Джейлбрейк iPhone перестав бути масовим хобі і перетворився на вузькоспеціалізований інструмент для професіоналів кібербезпеки. Водночас для звичайних користувачів він створює критичні ризики, особливо в контексті використання банківських додатків та зберігання персональних даних. Розбираємо технічні аспекти процесу та визначаємо, коли джейлбрейк виправданий, а коли несе непропорційну загрозу.

Що таке джейлбрейк і чому це важливо знати

Джейлбрейк (jailbreak) — процес зняття програмних обмежень операційної системи iOS, встановлених компанією Apple. Ця практика дозволяє користувачам отримати Root-доступ до файлової системи пристрою та встановлювати програми з неофіційних джерел, які не пройшли перевірку App Store.

За оцінками експертів з кібербезпеки, станом на 2024 рік частка користувачів iPhone із джейлбрейком становить менше 2% від загальної кількості пристроїв iOS — значне зниження порівняно з 10-15% у період 2010-2015 років. Це пояснюється як посиленням захисту iOS, так і зростанням усвідомлення ризиків безпеки.

Технічні аспекти: як працює джейлбрейк

Операційна система iOS побудована на принципі “пісочниці” (sandbox): кожна програма працює в ізольованому середовищі без доступу до даних інших додатків або системних файлів. Це базовий елемент архітектури безпеки Apple, відомої як “walled garden” — огороджений сад.

Джейлбрейк використовує вразливості в ядрі операційної системи (kernel exploits) або завантажувачі (bootrom exploits) для отримання повного контролю над пристроєм. Процес включає три критичні етапи:

1. Вимкнення перевірки цифрового підпису коду (Code Signing) — дозволяє запускати неавторизоване програмне забезпечення
2. Обхід захисту читання/запису на системному розділі — надає доступ до файлової системи
3. Надання прав суперкористувача (root) — повний контроль над усіма процесами пристрою

Існує кілька типів джейлбрейку, кожен з різним рівнем стійкості та безпеки:

Untethered jailbreak — найбільш бажаний, але найскладніший варіант. Зберігається після перезавантаження пристрою без необхідності повторного втручання. Такі джейлбрейки рідко з’являються для сучасних версій iOS через покращені механізми захисту Apple.

Tethered jailbreak — вимагає підключення до комп’ютера після кожного перезавантаження для відновлення Root-доступу. Найменш зручний варіант для повсякденного використання.

Semi-untethered jailbreak — найпоширеніший тип для сучасних версій iOS. Пристрій завантажується нормально, але користувач повинен запустити спеціальний додаток для активації джейлбрейку без підключення до комп’ютера.

Легітимне використання: тестування безпеки та цифрова криміналістика

Для фахівців з кібербезпеки джейлбрейк залишається необхідним інструментом для кількох специфічних завдань.

Пентестинг мобільних додатків

Тестування безпеки банківських застосунків, месенджерів та інших критичних програм вимагає глибокого аналізу їхньої поведінки. На пристрої без джейлбрейку такий аналіз обмежений або неможливий:

• Динамічний аналіз з використанням інструментів Frida або Objection дозволяє перехоплювати виклики функцій у реальному часі та виявляти вразливості в логіці додатка
• Обхід SSL Pinning для аналізу зашифрованого трафіку вимагає встановлення спеціальних твіків (наприклад, SSL Kill Switch), які працюють виключно з root-правами

Цифрова криміналістика

Правоохоронні органи та форензік-експерти використовують експлойти для створення повного образу файлової системи (file system extraction). Це дозволяє витягти дані, недоступні через стандартний бекап iTunes: кеш додатків, геолокаційні логи, видалені повідомлення. Інструменти Elcomsoft або Cellebrite часто базуються на вразливості checkm8 — апаратному недоліку в чіпах від A5 до A11, який Apple не може виправити програмно.

Дослідження вразливостей

Програма bug bounty від Apple передбачає спеціальні розблоковані пристрої (Security Research Device) для перевірених дослідників, проте доступ до них обмежений. Багато дослідників безпеки продовжують використовувати власні пристрої з джейлбрейком для пошуку нових вразливостей в iOS.

Розробка та тестування програмного забезпечення

Розробники можуть отримати доступ до системних API та функцій, недоступних через офіційний SDK Apple, що корисно для створення інноваційних рішень або тестування крайових випадків.

Особливі потреби доступності

Деякі користувачі з обмеженими можливостями можуть потребувати модифікацій системи, недоступних через стандартні налаштування iOS, хоча Apple значно покращила функції доступності в останніх версіях операційної системи.

Використання старих пристроїв

Джейлбрейк може продовжити термін служби застарілих iPhone, які більше не отримують офіційних оновлень, дозволяючи встановлювати оптимізовані твіки для покращення продуктивності.

Критичні ризики джейлбрейку для звичайних користувачів

Експерти з кібербезпеки одностайні у висновку: джейлбрейк суттєво підвищує вразливість пристрою до кіберзагроз. Основні ризики включають:

Відключення механізмів захисту iOS — джейлбрейк обходить систему безпеки на основі пісочниці (sandbox), яка ізолює додатки один від одного. Це означає, що шкідливий додаток може отримати доступ до даних інших програм, включаючи банківські додатки, месенджери та паролі.

Встановлення шкідливого програмного забезпечення — дослідження компанії Zimperium 2023 року виявило, що 73% пристроїв із джейлбрейком містили принаймні один потенційно небезпечний твік або додаток. Репозиторії Cydia та Sileo не мають такої суворої перевірки, як App Store, що дозволяє зловмисникам розповсюджувати трояни та шпигунське ПЗ.

Відсутність оновлень безпеки — Apple регулярно випускає патчі безпеки через офіційні оновлення iOS. Джейлбрейк часто блокує можливість встановлення цих оновлень, оскільки вони можуть усунути вразливості, на яких базується джейлбрейк. Це залишає пристрій вразливим до відомих загроз.

Крадіжка даних та фінансові втрати — згідно з даними Verizon Mobile Security Index 2024, мобільні пристрої з модифікованими операційними системами (включаючи джейлбрейк) у 7 разів частіше стають жертвами цільових атак, спрямованих на крадіжку фінансової інформації та облікових даних.

Порушення конфіденційності — багато твіків вимагають розширених дозволів для функціонування, що може призвести до несанкціонованого доступу до камери, мікрофона, геолокації та особистих повідомлень без відома користувача.

Нестабільність системи — несумісні твіки можуть спричиняти постійні перезавантаження, зависання системи або повний вихід пристрою з ладу, що особливо критично у надзвичайних ситуаціях.

Несумісність з банківськими додатками — українські державні та банківські застосунки (Дія, Monobank, Privat24) мають вбудовані модулі виявлення джейлбрейку та відмовляються працювати на модифікованих пристроях. Хоча існують твіки для приховування джейлбрейку, це постійна боротьба, яка може призвести до блокування облікових записів.

Проблеми стабільності — сучасні методи джейлбрейку (наприклад, напівприв’язані джейлбрейки як Palera1n) менш стабільні за попередні покоління. Невдале встановлення твіка може призвести до “петлі завантаження” (bootloop), що вимагатиме повного відновлення пристрою та втрати можливості джейлбрейку.

Коли ризик категорично не виправданий

Фахівці з кібербезпеки радять утриматися від джейлбрейку в наступних ситуаціях:

Основний пристрій для повсякденного використання — iPhone, що містить особисту переписку, банківські додатки, фотографії та робочі дані, не повинен піддаватися джейлбрейку. Ризик втрати конфіденційної інформації значно перевищує будь-які переваги.

Корпоративні пристрої — переважна більшість організацій забороняє використання пристроїв із джейлбрейком для доступу до корпоративних ресурсів. Системи управління мобільними пристроями (MDM) автоматично виявляють джейлбрейк та блокують доступ до внутрішніх систем.

Фінансові та платіжні операції — використання пристрою з джейлбрейком для мобільного банкінгу, Apple Pay або інших фінансових транзакцій створює неприйнятний рівень ризику. Багато банківських додатків відмовляються працювати на пристроях із джейлбрейком саме з міркувань безпеки.

Збереження цінних даних — фотографії, відео, документи та інші незамінні дані на пристрої з джейлбрейком піддаються підвищеному ризику втрати через нестабільність системи або кібератаки.

Відсутність технічних знань — користувачі без глибокого розуміння архітектури iOS, принципів роботи файлової системи та основ кібербезпеки не зможуть належним чином оцінити та мінімізувати ризики джейлбрейку.

Рекомендації експертів з кібербезпеки

Аналітики провідних компаній з інформаційної безпеки пропонують чіткі настанови щодо джейлбрейку:

Професійний контекст — якщо джейлбрейк необхідний для професійної діяльності (дослідження безпеки, розробка ПЗ), використовуйте окремий тестовий пристрій, який не містить особистих даних і не підключається до критично важливих служб.

Ізоляція даних — ніколи не синхронізуйте пристрій із джейлбрейком з iCloud, не використовуйте автозаповнення паролів та уникайте входу в особисті облікові записи на такому пристрої.

Регулярний аудит — якщо джейлбрейк неминучий, регулярно перевіряйте встановлені твіки, видаляйте невикористані репозиторії та слідкуйте за підозрілою активністю в системі.

Альтернативні рішення — перед джейлбрейком розгляньте легальні альтернативи: багато функцій, які раніше вимагали джейлбрейку (віджети, власні клавіатури, блокування реклами), тепер доступні через офіційні API iOS.

Висновок: виважений підхід до безпеки

Джейлбрейк iPhone залишається інструментом із чітко визначеною, вузькою сферою застосування. Для переважної більшості користувачів ризики кібербезпеки — від крадіжки особистих даних до фінансових втрат — значно перевищують потенційні переваги додаткової кастомізації системи.

За даними 2024 року, понад 90% функцій, заради яких користувачі проводили джейлбрейк у минулому, тепер доступні через офіційні засоби iOS або сторонні додатки з App Store. Apple продовжує розширювати можливості операційної системи, зменшуючи необхідність в обході обмежень.

Для українських користувачів, які приділяють особливу увагу питанням цифрової безпеки, рекомендація експертів однозначна: утримуйтеся від джейлбрейку на основному пристрої. Використовуйте вбудовані механізми захисту iOS, регулярно встановлюйте оновлення безпеки та дотримуйтеся базових правил кібергігієни — це надійніший шлях до захисту ваших даних, ніж будь-яка кастомізація системи.

Ця стаття Джейлбрейк iPhone: інструмент дослідника чи загроза безпеці раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

17 жовтня старший обробник ISC Ксав’є Мертенс опублікував на сайті Центру інтернет-загроз Інституту SANS пост про хвилю атак у TikTok. Зловмисники використовують соціально-інженерні техніки ClickFix, щоб ошукати жертв і змусити їх завантажити шкідливе ПЗ.

У прикладі відео, яке опублікував Мертенс, шахрай розмістив контент з понад 500 вподобаннями. Він начебто пропонує глядачам легкий спосіб активувати Photoshop безкоштовно.

Жертві пропонують запустити PowerShell від імені адміністратора й виконати один рядок коду. Це запускає файл «Updater.exe», який насправді є трояном AuroStealer — програмою для крадіжки облікових даних і системної інформації. Також у пам’яті запускається додатковий шкідливий код.

Що таке ClickFix?

ClickFix — особливо небезпечна соціально-інженерна техніка, яка намагається обійти традиційний захист від фішингу, змушуючи користувачів «зламати» самих себе.

Зловмисники надають інструкції в різних формах: використання ярлика Windows, копіювання фрагмента коду в командний рядок для запуску PowerShell-скрипта. Інструкції викладені зрозуміло й мають фальшиве призначення — начебто для виправлення незначної технічної проблеми, безкоштовного використання платного ПЗ або як «лайфхак» для покращення популярних стрімінгових сервісів.

Коли жертва несвідомо відкриває свій пристрій для експлуатації, шкідливе програмне забезпечення завантажується й виконується. Серед зловмисного ПЗ, зафіксованого в кампаніях ClickFix: викрадачі інформації, троян віддаленого доступу (RAT), програми-вимагачі та черв’яки.

Чи вперше пов’язують TikTok і ClickFix?

На жаль, ні. У березні дослідники кібербезпеки з Trend Micro повідомили, що в TikTok поширюють відео, потенційно створені за допомогою інструментів штучного інтелекту, для розповсюдження викрадачів інформації Vidar і StealC. Мережа безликих акаунтів публікувала відео на такі теми, як покращення Spotify, з покроковими інструкціями, які насправді запускали команду PowerShell для завантаження зловмисного ПЗ.

«Величезна база користувачів і алгоритмічний охоплення соціальних мереж забезпечують ідеальний механізм доставки для кіберзлочинців, — зазначили дослідники. — Для атакуючих це означає широке розповсюдження без логістичного тягаря підтримки інфраструктури».

На початку цього місяця Microsoft попередила, що ClickFix стає дедалі популярнішим методом проникнення в мережі, крадіжки даних і впровадження зловмисного ПЗ.

У останньому звіті Digital Defense корпорація Microsoft зазначила, що з 2024 року тактику ClickFix зафіксували як метод початкового доступу в 47% атак — це випереджає фішинг і атаки методом підбору паролів.

Як захиститися від атак ClickFix?

Не виконуйте команди на своєму пристрої, якщо не впевнені в джерелі коду чи його справжньому призначенні, особливо якщо інструкції знайшли в соціальних мережах, де їх навряд чи перевіряли. Тепер, коли ви знаєте про цей метод соціальної інженерії, будьте пильні. Розкажіть про це і своїм друзям.

Ця стаття Шахрайство в TikTok обіцяє безкоштовну ліцензію Photoshop або Windows — а потім викрадає ваші дані раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Дослідник розробив експлойт, який перехоплює автентифікацію через ключі допуску. Експлойт залежить від нетривіальної комбінації наявних умов. Ні самі ключі допуску, ні протокол не виявилися уразливими.

На цьогорічній конференції DEF CON у Лас-Вегасі дослідник кібербезпеки Марек Тот продемонстрував, як зловмисники можуть використовувати атаку clickjack для приховано запуску та перехоплення церемонії автентифікації на основі ключів допуску, — пише ZDNET.

У широкому розумінні це історія про те, як менеджери паролів можуть бути обмануті для розкриття інформації для входу — чи то традиційних облікових даних, таких як ідентифікатори користувачів та паролі, чи артефактів, пов’язаних із ключами допуску — зловмисним акторам.

Чи винні менеджери паролів? Тот — дослідник, який виявив експлойт — припускає, що так, але відповідь складніша.

Повний захист будь-якого автоматизованого процесу неминуче є результатом багаторівневої безпеки. У переважній більшості випадків використання, де цифрова безпека має значення, майже ніколи не існує єдиної “срібної кулі”, яка відбиває хакерів. Залежно від рівнів технологій, які поєднуються для завершення робочого процесу (наприклад, вхід на веб-сайт), відповідальність за безпеку цього процесу розподіляється між сторонами, які контролюють кожен із цих рівнів.

Так, менеджери паролів є одним рівнем у зупинці експлойту. Але оператори веб-сайтів та кінцеві користувачі — сторони, які контролюють інші рівні — повинні бути дуже необачними щодо безпеки заради зручності, щоб експлойт спрацював. Немає сенсу шукати винних. Усі сторони на кожному рівні повинні вжити заходів безпеки.

Основні ідеї ключів допуску

Щоліта індустрія кібербезпеки збирається в Лас-Вегасі на послідовні конференції Black Hat та DEF CON, де дослідники безпеки по черзі представляють свої “великі розкриття”. Протягом року, що передує заходу, ці дослідники працюють над виявленням нових, незареєстрованих уразливостей. Чим більша уразливість і чим більше користувачів постраждало, тим більша увага (і, можливо, фінансова винагорода) чекає дослідника.

Цього року кілька дослідників оголосили про низку проблем, які поставили під сумнів передбачувану перевагу ключів допуску як облікових даних для входу.

На Cybercalm ми багато писали про ключі допуску та про те, чому з точки зору безпеки та технічної перспективи вони набагато кращі за ідентифікатори користувачів та паролі (навіть коли задіяні додаткові фактори автентифікації).

Три основні ідеї ключів допуску:

1. Їх неможливо вгадати так, як часто можна вгадати паролі
2. Один і той самий ключ допуску не може бути повторно використаний на різних веб-сайтах та програмах (як це можливо з паролями)
3. Вас не можуть обманути, щоб ви розкрили свої ключі допуску зловмисникам (як це можливо з паролями)

На жаль, незважаючи на їх перевагу, досвід користування ключами допуску настільки сильно відрізняється від одного веб-сайту та програми до іншої, що ключі допуску ризикують бути глобально відхилені користувачами. Незважаючи на ці бар’єри для впровадження, і в ім’я максимального захисту себе (часто від себе), моя рекомендація залишається: користуйтесь ключами допуску, коли це можливо.

Суть атаки

Хоча експлойт відбувається миттєво, він включає складний набір взаємодій та передумов, які разом створюють серію нетривіальних перешкод для шансів зловмисника на успіх. По суті, експлойт Тота ніколи не краде ключ допуску користувача (одна з основних засад ключів допуску полягає в тому, що їх неможливо вкрасти). Але він по суті краде найкращу альтернативу.

У той момент, коли користувача обманом змушують ненавмисно автентифікуватися на веб-сайті з ключем допуску, експлойт перехоплює пакет інформації, який було виготовлено менеджером паролів користувача за допомогою його ключа допуску до цього сайту. Цей пакет називається PublicKeyCredential, і він схожий на одноразовий “золотий квиток”, який містить все необхідне для входу користувача в свій обліковий запис на легітимному веб-сайті. Як тільки зловмисник отримує цей “золотий квиток”, його можна використати для входу системи зловмисника в обліковий запис жертви, ніби система зловмисника є системою жертви.

І саме це робить цей експлойт.

Після завантаження шкідливого ПЗ в браузер жертви, експлойт — зловмисний міжсайтовий скрипт (XSS) — перехоплює той “золотий квиток” і замість того, щоб представити його для входу на легітимний сайт (як зазвичай робить браузер користувача на запит менеджера паролів), відправляє його на веб-сайт зловмисника. Потім, з цим “золотим квитком” в руках, зловмисник подає той самий квиток зі своєї системи на легітимний веб-сайт, фактично входячи системою зловмисника в обліковий запис користувача на легітимному веб-сайті.

Хто винен?

Але як зазначалося раніше, відкриття Тота залежить від попереднього існування кількох умов, що стосуються веб-сайту, вибору менеджера паролів користувачем, налаштувань цього менеджера паролів та вибору технології оператором веб-сайту для додавання можливості автентифікації з ключем допуску.

Хоча Тот вказує пальцем на менеджери паролів, я вважаю, що оператор веб-сайту був би здебільшого винним, якби справжній зловмисник використав цей експлойт у реальному світі.

Існує два налаштування, які зупиняють атаку і про які повинен знати кожен професійний оператор веб-сайту:

Прив’язка до сесії: коли веб-сервер налаштований на включення спеціального заголовка під час спроби користувача автентифікуватися з ключем допуску, він постійно прив’язує виклик до певного ідентифікатора сесії. Це робиться за допомогою параметра set-cookie:

Set-Cookie: session_id=123456789abcdefg; HttpOnly

Коли параметр HttpOnly включений, ідентифікатор сесії стає невидимим для будь-якого JavaScript — легітимного чи зловмисного. В результаті, навіть якби зловмисний JavaScript переслав перехоплений “золотий квиток” системі зловмисника, він був би безкорисним без відсутнього ідентифікатора сесії.

Цю “прив’язку до сесії” автентифікаційної розмови між веб-сайтом та браузером кінцевого користувача протягом віків вважають основною лінією захисту від такої атаки. Нездатність оператора веб-сайту захистити свої процеси автентифікації за допомогою цієї простої, добре відомої найкращої практики була б розглянута більшістю професіоналів кібербезпеки як вкрай недбала.

Рівні захисту

Але припустімо, як це робить Тот, що оператор веб-сайту катастрофічно проігнорував одну з найважливіших і найвідоміших технік захисту робочого процесу автентифікації. Експлойт Тота все ще включає деякі інші нетривіальні передумови.

Шкідливий скрипт: перша з них включає встановлення шкідливого скрипта в ваш веб-браузер. Тот зазначає, що сайти, які включають значну кількість контенту, створеного користувачами, є улюбленою мішенню зловмисників, оскільки вони можуть додавати скрипти до публікації чи відгуку.

Clickjack-атака: припускаючи, що користувач натрапляє на такий сайт і завантажує шкідливий скрипт у свій браузер, скрипт повинен приховано обманути користувача, щоб він ненавмисно запустив процедуру автентифікації.

Як випливає з фрази, clickjack-атака відбувається, коли зловмисник обманює вас, щоб ви натиснули на елемент, який може бути для вас невидимим. У експлойті Тота зловмисний JavaScript малює вікно браузера з начебто невинним діалогом, як реклама чи форма згоди на cookies — те, що ми бачимо постійно і просто хочемо прибрати з екрана. Однак коли ми натискаємо на цей елемент, щоб позбутися його, ми насправді не усвідомлюємо, що натискаємо на щось інше, що було приховано за ним.

Плюси та мінуси додаткових запитів

Коли прихильники описують ключі допуску як більш безпечні за традиційні облікові дані, вони часто говорять про те, як процес ключа допуску такий же простий, як вхід у телефон за допомогою біометричних даних або PIN-коду.

Однак це головним чином стосується випадків, коли ваш менеджер паролів також налаштований вимагати біометричні дані або PIN для кожної спроби автентифікації. Оскільки деякі користувачі не хочуть, щоб їх турбували цим додатковим рівнем безпеки кожного разу, коли вони входять на веб-сайт, більшість менеджерів паролів дають користувачам можливість пом’якшити це нагадування.

Пригадайте, що експлойт Тота залежить від того, щоб користувача обманом змусили ненавмисно автентифікуватися з веб-сайтом. Якщо ваш менеджер паролів налаштований, як мій — вимагати PIN або біометричні дані для дозволу будь-якої церемонії автентифікації — ви миттєво зрозумієте, що щось не так.

Ядерна опція

Однак навіть коли користувачі нехтують захистом своїх систем, оператори веб-сайтів мають спеціальну “ядерну опцію” в своєму розпорядженні.

Коли сторона, яка покладається на автентифікацію, надсилає згаданий вище виклик менеджеру паролів як частину пакета PublicKeyCredentialRequestOptions, вона також може включити спеціальний прапор під назвою параметр userVerification. Цей параметр допускає три можливі налаштування: Discouraged (Не рекомендується), Preferred (Бажано) та Required (Обов’язково).

Якщо сторона встановлює прапор userVerification на “Required”, менеджер паролів зобов’язаний запитати у користувача біометричні дані, PIN або пароль незалежно від того, як користувач налаштував цей менеджер паролів. Іншими словами, оператор веб-сайту має спосіб примусити користувача отримати запит таким чином, щоб це попередило його про неочікувану поведінку веб-сайту.

Покращення з боку менеджерів паролів

Щоб ваш менеджер паролів робив те, що він робить, ви повинні надати йому такі дозволи, які ви практично ніколи не повинні давати жодному іншому розширенню веб-браузера. Ваш менеджер паролів може не тільки читати весь контент кожної веб-сторінки, яку ви відвідуєте, але й модифікувати його. І завдяки цим дозволам ваш менеджер паролів також може виявити ознаки clickjack-атаки в процесі.

Не дивно, що оновлені версії їхнього програмного забезпечення розробляються або вже випущені:

• Bitwarden впровадив заходи протидії цьому класу атак у найновіших релізах минулого тижня
• 1Password випустив версію 8.11.7 20 серпня 2025 року, яка додає можливість для користувачів отримувати сповіщення та схвалювати або відхиляти дії автозаповнення
• NordPass тепер рендерить іконки з найвищим z-index, запобігаючи накладенню чого-небудь поверх них
• LastPass також посилив свій захист від потенційних clickjack-атак

Висновки

Незважаючи на потенціал для зловмисника перехопити церемонію автентифікації з ключем допуску після виконання нетривіальних передумов, експлойт Тота надає додаткові докази того, що ключі допуску більш безпечні за традиційні облікові дані.

Прив’язка до сесії робить одноразовий “золотий квиток”, згенерований ключем допуску, непридатним для використання із системи зловмисника. Однак це нічого не робить для зупинки вилучення зловмисником ідентифікатора та пароля користувача, коли clickjack-атака Тота стикається зі спробою автентифікації з цими традиційними обліковими даними порівняно з більш чутливими до часу та безпечними ключами допуску.

Ця стаття Ваші ключі допуску можуть бути уразливими до атак — дослідження раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

WhatsApp виправив критичну вразливість нульового кліка у додатках для iOS та Mac, яка дозволяла проводити складні шпигунські атаки на конкретних користувачів протягом останніх трьох місяців.

Вразливість, зареєстрована як CVE-2025-55177, використовувалася разом із проблемою безпеки операційної системи Apple для компрометації пристроїв та крадіжки конфіденційних даних, включно з приватними повідомленнями.

Meta підтвердила, що виявила й усунула вразливість «кілька тижнів тому» та надіслала сповіщення «менш ніж 200» постраждалим користувачам WhatsApp. Компанія охарактеризувала атаки як такі, що спрямовані на «конкретних цільових користувачів» через zero-click експлойт, який не вимагав жодних дій від жертв для компрометації їхніх пристроїв.

Технічні деталі атаки

Вразливість стосувалася неповної авторизації повідомлень синхронізації пов’язаних пристроїв у WhatsApp, дозволяючи зловмисникам ініціювати обробку контенту з довільних URL-адрес на цільових пристроях. Дослідники безпеки зазначили, що цю проблему використовували разом із вразливістю Apple CVE-2025-43300 — проблемою у фреймворку ImageIO, яку Apple виправила 20 серпня.

Доннха О’Карбайлл, керівник лабораторії безпеки Amnesty International, охарактеризував кампанію як «розвинену шпигунську кампанію», яка була активною приблизно 90 днів, починаючи з кінця травня 2025 року. Метод атаки дозволяв компрометувати як iOS, так і Mac пристрої через інфраструктуру повідомлень WhatsApp.

Згідно з консультативним повідомленням WhatsApp щодо безпеки, вразливість впливала на WhatsApp для iOS версій до 2.25.21.73, WhatsApp Business для iOS версій до 2.25.21.78 та WhatsApp для Mac версій до 2.25.21.78. Компанія оцінила, що вразливість «могла бути експлуатованою в складній атаці проти конкретних цільових користувачів».

Реакція компанії та сповіщення користувачів

WhatsApp надіслав попередження про загрози постраждалим користувачам, повідомивши їх про те, що їхні пристрої «можуть залишатися скомпрометованими шкідливим програмним забезпеченням або стати об’єктами інших атак». У сповіщеннях користувачам радили виконати скидання до заводських налаштувань на своїх пристроях як запобіжний захід та підтримувати операційні системи в оновленому стані.

Оприлюднення цієї інформації відбувається на тлі триваючої боротьби WhatsApp з індустрією комерційного шпигунського програмного забезпечення. Раніше цього року федеральне журі наказало ізраїльській компанії NSO Group виплатити Meta 167 мільйонів доларів компенсації за атаки на понад 1400 користувачів WhatsApp за допомогою шпигунської програми Pegasus у 2019 році. Рішення суду стало значною перемогою для захисників приватності в тривалій боротьбі проти зловживань технологіями стеження.

WhatsApp також зупинив інші шпигунські кампанії цього року, включно з окремою zero-click атакою компанії Paragon Solutions, яка була спрямована приблизно на 90 журналістів та активістів у понад 20 країнах з використанням шкідливих PDF-файлів, надісланих через групи WhatsApp.

Читате також: Чому щоденне перезавантаження телефону — ваш найкращий захист від атак нульового кліка

Висновки

Останнє розкриття інформації про вразливість підкреслює постійну загрозу з боку zero-click експлойтів, які експерти з безпеки вважають одними з найнебезпечніших форм кібератак через їхню здатність компрометувати пристрої без будь-якої взаємодії з користувачем.

Хоча поточна атака, схоже, мала вузьку спрямованість, інцидент висвітлює триваючу гру в «кота та мишу» між платформами обміну повідомленнями та складними зловмисниками, які прагнуть експлуатувати інструменти комунікації для цілей стеження.

Ця стаття WhatsApp усунув критичну вразливість, яку експлуатували шпигунські програми протягом трьох місяців раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Біометрична автентифікація стала невід’ємною частиною нашого цифрового життя. Відбитки пальців, сканування обличчя, розпізнавання голосу — ці технології обіцяють максимальну безпеку, адже наші біологічні характеристики унікальні та нібито неможливі для копіювання. Однак реальність виявляється набагато складнішою.

Уразливості сучасних біометричних систем

Біометричні системи мають фундаментальну проблему: вони працюють з цифровими шаблонами наших біологічних характеристик, а не з самими характеристиками. Це створює можливості для маніпуляцій на різних рівнях — від фізичного підробляння до кібератак на програмному рівні.

Основні вектори атак

Фізичне підробляння включає створення штучних копій біометричних характеристик. Зловмисники можуть використовувати силіконові муляжі пальців, 3D-друковані моделі облич або навіть фотографії високої роздільної здатності для обходу систем розпізнавання.

Атаки на шаблони спрямовані на перехоплення та маніпуляції цифровими відбитками біометричних даних під час їх передачі або зберігання. Це може включати атаки типу “людина посередині” або компрометацію баз даних.

Спуфінг-атаки використовують отримані раніше біометричні дані для імітації справжнього користувача. Особливо небезпечними є атаки з використанням deepfake-технологій для відео або синтезованого голосу.

Обхід Face ID та Touch ID

Вразливості Touch ID

Touch ID від Apple, незважаючи на свою популярність, має кілька відомих уразливостей. Дослідники неодноразово демонстрували можливість обходу системи за допомогою високоякісних копій відбитків пальців.

• Метод латексного муляжа передбачає створення тонкої латексної плівки з відбитком пальця жертви. Такий муляж може бути виготовлений на основі відбитка, залишеного на склі або іншій поверхні. Сучасні сканери часто не можуть відрізнити такий муляж від справжнього пальця.
• Атаки через зношування сенсора експлуатують той факт, що сенсори Touch ID з часом накопичують залишки від попередніх сканувань. Це може дозволити зловмисникам реконструювати частини відбитків пальців власника пристрою.
• Проблема мертвих пальців полягає в тому, що Touch ID може працювати навіть з відокремленими пальцями протягом певного часу після смерті, що створює етичні та правові проблеми.

Слабкі місця Face ID

Face ID використовує більш складну технологію 3D-сканування обличчя, але й вона не є бездоганною. Система аналізує понад 30 000 невидимих точок на обличчі за допомогою інфрачервоного світла та камери глибини.

• Атаки з використанням масок показали, що достатньо детальна маска може обманути Face ID. Дослідники з В’єтнаму продемонстрували, як маска вартістю 150 доларів може розблокувати iPhone X. Маска включала 3D-друковані елементи, силіконові деталі шкіри та інфрачервоні вставки для імітації тепла.
• Проблема близнюків та схожих облич залишається актуальною. Хоча Apple стверджує, що ймовірність помилкового розпізнавання становить 1 до 1 000 000, однояйцеві близнюки та люди з дуже схожими рисами обличчя можуть розблокувати пристрої один одного.
• Атаки через фотографії менш ефективні проти Face ID через використання 3D-сканування, але високоякісні фотографії в поєднанні з іншими методами все ще можуть становити загрозу.

Нові методи обходу

• Атаки на алгоритми машинного навчання використовують adversarial examples — спеціально змінені зображення, які можуть обманути нейронні мережі. Такі атаки можуть бути особливо ефективними проти систем розпізнавання облич.
• Біометричне клонування передбачає створення синтетичних біометричних даних на основі зібраної інформації про жертву. Це може включати генерацію штучних відбитків пальців або реконструкцію геометрії обличчя.

Захист біометричних даних

Принципи безпечного зберігання

Біометричні дані вимагають особливого підходу до захисту, оскільки їх неможливо змінити у разі компрометації, як це можна зробити з паролями.

Шифрування на пристрої є основою безпеки біометричних систем. Дані повинні оброблятися та зберігатися в спеціальних захищених енклавах (як Secure Enclave в пристроях Apple), які ізольовані від основної операційної системи.

Принцип мінімізації даних передбачає збереження лише необхідної інформації у вигляді математичних шаблонів замість повних біометричних зразків. Це ускладнює реконструкцію оригінальних біометричних характеристик.

Біометричні хеші використовують односторонні криптографічні функції для створення унікальних цифрових відбитків біометричних даних. Ці хеші неможливо зворотно перетворити на оригінальні дані.

Технології захисту

Liveness detection — технологія визначення “живості” біометричних характеристик. Вона включає аналіз мікрорухів, температури, пульсу та інших ознак, які вказують на те, що біометричні дані надаються живою людиною.

Багатоспектральна біометрія використовує різні діапазони світла для аналізу біометричних характеристик. Це ускладнює створення підробок, оскільки вони повинні бути ефективними в різних спектрах.

Поведінкова біометрія аналізує унікальні паттерни поведінки користувача — швидкість набору тексту, характер рухів миші, походу тощо. Ці характеристики складніше підробити або скопіювати.

Правові та етичні аспекти

Регулювання збору даних стає все більш суворим. GDPR в Європі та подібні закони в інших регіонах встановлюють жорсткі вимоги до обробки біометричних даних, класифікуючи їх як особливо чутливі.

Право на забуття створює унікальні виклики для біометричних систем. Якщо користувач вимагає видалення своїх даних, компанії повинні мати можливість повністю їх знищити.

Прозорість алгоритмів стає важливою вимогою. Користувачі повинні розуміти, як їхні біометричні дані обробляються та які алгоритми використовуються для прийняття рішень.

Комбіновані методи автентифікації

Багатофакторна автентифікація

Найефективніший спосіб підвищення безпеки — комбінування біометричних методів з іншими факторами автентифікації.

Схема “щось що ти знаєш + щось чим ти є” поєднує традиційні паролі або PIN-коди з біометричними даними. Навіть якщо один з факторів буде скомпрометований, система залишиться захищеною.

Багатобіометрична автентифікація використовує кілька біометричних характеристик одночасно — наприклад, відбиток пальця плюс розпізнавання обличчя. Це значно ускладнює атаки, оскільки зловмисникам потрібно обійти всі системи одночасно.

Адаптивна автентифікація динамічно змінює вимоги до автентифікації залежно від контексту. Для звичайних дій може бути достатньо одного фактора, а для чутливих операцій система може вимагати додаткову верифікацію.

Контекстна автентифікація

Геолокація може бути додатковим фактором безпеки. Якщо спроба входу відбувається з незвичайного місця, система може вимагати додаткової верифікації.

Аналіз поведінки включає моніторинг звичних паттернів користувача. Незвичайна активність може тригерити додаткові перевірки безпеки.

Часові обмеження можуть обмежувати доступ до чутливих функцій у певний час доби або після тривалої неактивності.

Технології майбутнього

Квантова криптографія може революціонізувати захист біометричних даних, забезпечуючи теоретично неможливе для зламу шифрування.

Blockchain для біометрії може забезпечити децентралізоване та прозоре управління біометричними даними, де користувачі мають повний контроль над своїми даними.

Штучний інтелект для захисту може використовуватися для виявлення аномальних паттернів та потенційних атак на біометричні системи в реальному часі.

Рекомендації для користувачів

Особиста безпека

Не покладайтеся виключно на біометрію — завжди налаштовуйте резервні методи автентифікації та використовуйте багатофакторну автентифікацію де це можливо.

Регулярно очищуйте сенсори — залишки від попередніх сканувань можуть становити ризик безпеки.

Будьте обережні з біометричними даними — не діліться зображеннями високої якості своїх відбитків пальців або обличчя в соціальних мережах.

Корпоративна безпека

Проводьте регулярні аудити безпеки біометричних систем та оновлюйте програмне забезпечення.

Навчайте співробітників основам безпеки біометричних систем та потенційним загрозам.

Розробляйте політики управління інцидентами для випадків компрометації біометричних даних.

Висновки

Біометричні технології є потужним інструментом безпеки, але вони не є панацеєю. Розуміння їхніх обмежень та правильне використання в поєднанні з іншими методами захисту — ключ до забезпечення надійної безпеки в цифровому світі.

Майбутнє біометричної безпеки лежить не в удосконаленні окремих технологій, а в створенні комплексних, адаптивних систем, які поєднують різні методи аутентифікації та постійно еволюціонують для протистояння новим загрозам.

Користувачі повинні розуміти, що біометрія — це зручність, а не абсолютна безпека, і відповідно планувати свою стратегію захисту даних.

Ця стаття Біометричне хакерство: коли відбитки пальців не захищають раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Хакери можуть використати цю вразливість для виконання довільного коду.

Серйозна уразливість WinRAR, виявлена Zero Day Initiative, може дозволити хакерам виконати довільний код на вашому комп’ютері. Користувачам слід встановити останнє оновлення WinRAR (версія 6.23), щоб виправити цю вразливість. Зверніть увагу, що WinRAR не пропонує автоматичних оновлень, тому цей випуск необхідно встановити вручну.

Уразливість, яка ідентифікована як CVE-2023-40477, дозволяє хакерам виконувати довільний код, коли жертва відкриває шкідливий RAR-архів. Згідно з публічним попередженням Zero Day Initiative, “ця проблема є наслідком відсутності належної перевірки даних, наданих користувачем, що може призвести до доступу до пам’яті за межами виділеного буфера”. RARLAB стверджує, що вада міститься в “коді обробки томів відновлення” WinRAR, але не уточнює, в чому саме вона полягає.

Оскільки цей конкретний експлойт вимагає взаємодії з користувачем (необхідно відкрити шкідливий архів), він отримав рейтинг серйозності 7.8 за шкалою CVSS. Це не “критична” уразливість, але якщо ви з тих, хто завантажує випадкові RAR-архіви з невідомих сайтів, вам слід поставитися до неї дуже серйозно. На момент написання статті не було жодних свідчень того, що хакери використовували CVE-2023-40477 в реальному світі, хоча це може змінитися, коли вразливість стане надбанням громадськості. Для довідки, RARLAB та Zero Day Initiative лише виявили існування цієї уразливості, але не пояснили, як саме вона реалізується.

Читайте також:

Зауважимо, що WinRAR вже страждав від подібних уразливостей в минулому. Відсутність автоматичного оновлення програмного забезпечення ідеально підходить для ІТ-відділів, але для пересічних користувачів це створює певний головний біль. Хороша новина полягає в тому, що Windows 11 розробляє власну підтримку RAR, або ви можете використовувати інше стороннє програмне забезпечення для відкриття файлів .rar, наприклад, 7-Zip. Якщо ви хочете протестувати вбудовану підтримку RAR в Windows 11 вже сьогодні, ви повинні бути інсайдером Windows.

Щоб виправити цю уразливість, завантажте останню версію WinRAR або переконайтеся, що у вас встановлена версія 6.32 або новіша. Навіть якщо вас не турбує ця уразливість, оновлення WinRAR виправить попередні помилки та експлойти. Воно також може надати деякі покращення інтерфейсу користувача, якщо ви не оновлювали програму протягом декількох років.

Ця стаття WinRAR має серйозну ваду безпеки: оновіть свій ПК зараз раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Check Point Research, дослідницький підрозділ Check Point Software Technologies Ltd., провідного постачальника рішень в галузі кібербезпеки, виявила уразливість системи безпеки в функції фільтрації зображень WhatsApp.

Застосувавши певні фільтри до спеціально створеного зображення і відправивши його потенційній жертві, зловмисник міг скористатися уразливістю і отримати доступ до конфіденційної інформації з пам’яті WhatsApp.

Уразливість пов’язана з функцією фільтрації зображень в WhatsApp.

Фільтрація зображень – це процес, за допомогою якого пікселі вихідного зображення змінюються для досягнення деяких візуальних ефектів, таких як розмиття або чіткість.

В ході дослідження фахівці Check Point Research з’ясували, що перемикання між різними фільтрами в створених GIF-файлах призводило до збою WhatsApp. Дослідники визначили один з збоїв як пошкодження пам’яті і негайно повідомили про проблему в WhatsApp, який назвав уразливість CVE-2020-1910, докладно описавши її як проблему читання і запису за межами допустимого діапазону.

За оцінками компанії, через WhatsApp щодня відправляється понад 55 мільярдів повідомлень, включаючи 4,5 мільярда фотографій і один мільярд відео.

Check Point Research представив свої висновки WhatsApp 10 листопада 2020 року. WhatsApp перевірив, визнав проблему безпеки і розгорнув виправлення у версії 2.21.2.13, вказавши уразливість в своєму лютневому оновленні з рекомендаціями щодо безпеки.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Як не стати жертвою програм-вимагачів? ПОРАДИ

Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД

Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ

Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ

Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ

Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.

Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.

Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.

І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.

Ця стаття Уразливість в WhatsApp могла привести до розкриття даних користувачів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Майже 40 різних уразливостей, пов’язаних з гнучким механізмом шифрування STARTTLS в поштових клієнтах і серверах, виявили дослідники у галузі кібербезпеки Даміан Поддебняк (Damian Poddebniak), Фабіан Ізінг (Fabian Ising), Ханно Бек (Hanno Böck) і Себастьян Шінзель (Sebastian Schinzel).

Експлуатація уразливостей дозволяє зловмисникам здійснювати атаки типу “людина посередині” (MitM), підробляти вміст поштової скриньки і викрадати облікові дані.

За результатами сканування Мережі було виявлено 320 тисяч поштових серверів, уразливих до так званої атаки з використанням впровадження команд. Серед популярних поштових клієнтів, на роботу яких вплинула уразливість, – Apple Mail, Gmail, Mozilla Thunderbird, Claws Mail, Mutt, Evolution, Exim, Mail.ru, Samsung Email, Yandex і KMail.

Для здійснення атак зловмисникові необхідно втрутитися у з’єднання, встановлені між поштовим клієнтом і поштовим сервером постачальника, а також мати облікові дані для входу в свій обліковий запис на тому ж сервері.

Альтернативний сценарій атаки може полегшити підробку поштової скриньки шляхом вставки додаткового вмісту в повідомлення сервера у відповідь на команду STARTTLS перед TLS-рукостисканням. Хакер може обманом змусити клієнт обробити команди сервера так, як якщо б вони були частиною зашифрованого з’єднання. Дослідники назвали атаку “відповідним впровадженням”.

Останній варіант атаки стосується IMAP-протоколу, який визначає стандартизований спосіб для поштових клієнтів отримувати повідомлення електронної пошти з поштового сервера за допомогою бездротової технології TCP/IP.

Зловмисник може обійти STARTTLS в IMAP, відправивши вітання PREAUTH – відповідь, який вказує, що з’єднання вже було аутентифіковано зовнішніми засобами. Таким чином хакер може запобігти оновлення з’єднання і змусити клієнта встановити незашифроване з’єднання.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Як не стати жертвою програм-вимагачів? ПОРАДИ

Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД

Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ

Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ

Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ

Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.

Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.

Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.

І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.

Ця стаття У поштових клієнтах Gmail та Apple Mail можна змінювати вміст скриньки та викрадати дані раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Помилка міжсайтових сценаріїв (XSS), виявлена у плагіні SEOPress для сайтів на WordPress, могла би дозволити зловмисникам вводити довільні веб-сценарії у вразливі елементи та захоплювати веб-сайти.

SEOPress – популярний плагін SEO (оптимізації сайту для пошукових систем), розроблений спеціально для веб -сайтів, на яких запущено WordPress, і використовується приблизно на 100 тисяч сайтів, повідомляє Techradar.

Помилку виявили експерти з безпеки WordPress у компанії Wordfence, які минулого місяця повідомили про неї розробника плагінів.

“Однією з особливостей, яку реалізує плагін, є можливість додавати до повідомлень назву та опис для алгоритмів SEO, і це можна зробити, зберігаючи зміни до публікації або за допомогою нещодавно представленої кінцевої точки REST-API. На жаль, ця кінцева точка REST-API була ненадійно реалізована”,-написала Хлоя Чемберленд, аналітик загроз у Wordfence.

Чемберленд вважає, що вразливості міжсайтового сценарію, такі як виявлена ​​в SEOPress, можна використовувати для виконання різних шкідливих дій – таких як створення нових облікових записів адміністратора, ін’єкція веб-оболонки, довільні переспрямування і аж до повного перехоплення контролю над сайтом на WordPress.

Поділяючись технічними подробицями про уразливість, Чемберленд пише, що вона може бути використана будь-яким автентифікованим користувачем, наприклад, звичайним підписником, для оновлення заголовка та опису SEO для будь -якої публікації.

“Корисне навантаження може включати шкідливі веб -сценарії, такі як JavaScript, через відсутність дезінфекції або перехід за збереженими параметрами сторінки”, – говорить Чемберленд, додаючи, що ці сценарії виконуватимуться кожного разу, коли користувач звернеться до сторінки “Усі публікації”.

Ця помилка була повністю виправлена ​​у версії SEOPress v5.0.4, і Wordfence закликає всіх користувачів плагіна оновити свої інсталяції.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Телефонне шахрайство: як розпізнати обман та викрити зловмисника?

Платіжна безпека: як вберегтися від шахраїв під час користування онлайн-банкінгом?

Як автоматично пересилати певні електронні листи в Gmail? – ІНСТРУКЦІЯ

Що таке Google Tensor і як він покращить майбутні смартфони? ОГЛЯД

Як заблокувати спам на Google Диску? ІНСТРУКЦІЯ

До речі, Apple скануватиме фото в iPhone користувачів, щоб захистити дітей від насильства. Про це заявив сам американський технологічний гігант.

Виявлено спосіб, що дозволяє користувачам Telegram для Mac назавжди зберігати повідомлення, які повинні самі знищуватися і переглядати їх без відома відправника. Уразливість виправити неможливо.

Зверніть увагу, шахрайську схему з виманювання даних платіжних карт українців вигадали зловмисники, створивши фейкову сторінку у Facebook та фейковий сайт ТСН. Довірливих користувачів змушували вказувати дані своїх платіжних карток.

Окрім цього, Windows 11 може вийти раніше, ніж Ви думали. Майкрософт була щедрою з інформацією про Windows 11, за значним винятком є ​​дата виходу. Однак компанія могла ненароком відкрити вікно випуску за жовтень, завдяки деяким документам підтримки Intel та Microsoft, виявленим BleepingComputer.

Також якщо Ви регулярно пересилаєте повідомлення на інший обліковий запис електронної пошти, чому б не автоматизувати це завдання? Використовуючи зручну функцію фільтрування в Gmail, Ви можете автоматично пересилати певні електронні листи, коли вони потраплять у Вашу поштову скриньку.

Ця стаття Понад 100 тисяч сайтів залишаються уразливими через баг у плагіні для WordPress раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер.

Серед інформації були бази даних клієнтів, відомості про співробітників тощо. Причина бага крилася в неправильній конфігурації системи Pega Infinity, призначеної для залучення клієнтів, повідомляє Bleeping Computer.

Саме ця система була запущена на серверах Ford. На уразливість звернули увагу дослідники з кібербезпеки, які вивчали офіційний сайт Ford.

За їхніми словами, баг дозволяв не тільки отримати доступ до конфіденційних даних корпорації, але й заволодіти контролем над екаунтами у системі.

Подробиці уразливості, що отримала ідентифікатор CVE-2021-27653, розповіли експерти Роберт Вілліс і break3r.

Також інформація щодо діри з’явилася на сайті Pega Infinity. Дослідники зняли безліч скріншотів внутрішніх систем і баз даних Ford перш, ніж поділилися з виданням Bleeping Computer.

Наприклад, один з скріншотів демонструє систему електронних запитів виробника автомобілів.

Для експлуатації уразливості хакеру спочатку треба отримати доступ до бекенд-панелі порталу Pega Chat Access Group, який налаштований некоректно:

https://www.rpa-pega-1.ford.com/prweb/PRChat/app/RPACHAT_4089/ bD8qH ****** bIw4Prb * /! RPACHAT / $ STANDARD …

Різні параметри URL дозволяють зловмисникам виконувати запити, отримувати таблиці баз даних, токени доступу OAuth і здійснювати дії з правами адміністратора. В окремих випадках хакери могли отримати доступ до персональних даних.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Телефонне шахрайство: як розпізнати обман та викрити зловмисника?

Платіжна безпека: як вберегтися від шахраїв під час користування онлайн-банкінгом?

Як автоматично пересилати певні електронні листи в Gmail? – ІНСТРУКЦІЯ

Що таке Google Tensor і як він покращить майбутні смартфони? ОГЛЯД

Як заблокувати спам на Google Диску? ІНСТРУКЦІЯ

До речі, Apple скануватиме фото в iPhone користувачів, щоб захистити дітей від насильства. Про це заявив сам американський технологічний гігант.

Виявлено спосіб, що дозволяє користувачам Telegram для Mac назавжди зберігати повідомлення, які повинні самі знищуватися і переглядати їх без відома відправника. Уразливість виправити неможливо.

Зверніть увагу, шахрайську схему з виманювання даних платіжних карт українців вигадали зловмисники, створивши фейкову сторінку у Facebook та фейковий сайт ТСН. Довірливих користувачів змушували вказувати дані своїх платіжних карток.

Окрім цього, Windows 11 може вийти раніше, ніж Ви думали. Майкрософт була щедрою з інформацією про Windows 11, за значним винятком є ​​дата виходу. Однак компанія могла ненароком відкрити вікно випуску за жовтень, завдяки деяким документам підтримки Intel та Microsoft, виявленим BleepingComputer.

Також якщо Ви регулярно пересилаєте повідомлення на інший обліковий запис електронної пошти, чому б не автоматизувати це завдання? Використовуючи зручну функцію фільтрування в Gmail, Ви можете автоматично пересилати певні електронні листи, коли вони потраплять у Вашу поштову скриньку.

Ця стаття Баг на сайті Ford дозволяв будь-кому отримати доступ до конфіденційних даних раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Фахівці німецької IT-компанії Datenrettung Berlin попередили про небезпечну проблему в знятих з виробництва мережевих сховищах Apple AirPort Time Capsule, через яку користувачі можуть втратити свої дані.

Після численних аналізів Apple AirPort Time Capsule експертам доводилося стикатися з однією і тією ж проблемою майже в 100% випадків – деформований блок читання і запису, а також серйозні пошкодження поверхні інформаційних плат.

Як припускають експерти, проблема пов’язана з уразливістю в конструкції жорсткого диска Seagate Grenada, встановленого в Time Capsule (ST3000DM001/ST2000DM001 2014-2018). Пристрій Time Capsule погано вентилюється і в результаті цього починає швидко нагріватися. Частина жорсткого диска, яка з’єднує накопичувач із зовнішнім корпусом, складається з різних матеріалів і нагрівається з різною швидкістю, що в кінцевому підсумку призводить до зносу елемента.

Пошкодження сполучної частини призводить до деформації блоку читання і запису під час наступного запуску пристрою. Деформований блок в свою чергу руйнує жорсткий диск, приводячи до втрати даних.

Дані можна відновити тільки шляхом дуже обережних маніпуляцій, однак це не завжди можливо.

Всі пристрої Time Capsule 5-го покоління ємністю 2 і 3 ТБ, оснащені жорстким диском Seagate Grenada, є уразливими. Користувачам необхідно якомога швидше зробити резервну копію своїх даних.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

FaceTime для Windows: як користуватися – ІНСТРУКЦІЯ

Чому перевірка готовності Вашого ПК до Windows 11 видає неможливість встановлення?

Як безпечно користування соціальними мережами? ПОРАДИ

В Україні поширюється онлайн-грумінг: як захистити Ваших дітей? ПОРАДИ

Що можуть Google та Apple віддалено зробити з Вашим смартфоном?

Як “скинути” рекламний ідентифікатор на Android? ІНСТРУКЦІЯ

До речі, Google видалила з Play Store дев’ять Android-додатків, в цілому завантажених 5,8 млн разів, що, як виявилося, викрадали облікові дані користувачів для авторизації в Facebook.

Щоб виявити, які пристрої “розумного” будинку атакують найбільше, експерти налаштували і підключили до Інтернету уявний “розумний” будинок, що містив різні пристрої – від смарт-телевізорів і термостатів до камер відеоспостереження, принтерів і “розумних” чайників.

Винахідник інтернету сер Тім Бернерс-Лі продав на аукціоні Sotheby’s оригінальний код, за допомогою якого він колись створив Інтернет.

Окрім цього, компанія Apple 30 червня відкрила офіційний офіс в Україні – компанія планує самостійно ввозити техніку в Україну та контролювати магазини офіційних дилерів, які надають послуги компанії в Україні.

Ця стаття Сховища Apple AirPort Time Capsule можуть втрачати Ваші дані раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Microsoft закликала користувачів оновити PowerShell у зв’язку з наявністю уразливості віддаленого виконання коду в .NET Core.

PowerShell являє собою засіб автоматизації з відкритим вихідним кодом, що складається з оболонки з командною оболонкою та супутньої мови сценаріїв.

Уразливість ( CVE-2021-26701 ) зачіпає версії PowerShell 7.0 і 7.1. Проблема виправлена з випуском версій 7.0.6 і 7.1.3 відповідно. Версія PowerShell 5.1 уразливості не схильна до уразливості.

Як вказується в описі Microsoft, вразливість існує в .NET 5 і .NET Core (зокрема, в пакеті System.Text.Encodings.Web) через некоректне здійснення кодування тексту. Уразливими є наступні версії System.Text.Encodings.Web: 4.0.0 – 4.5.0, 4.6.0-4.7.1, 5.0.0.

З огляду на відсутність інших заходів щодо запобігання експлуатації уразливості, окрім установки оновлення, користувачам настійно рекомендується оновитися до останніх версій PowerShell щоб уникнути можливих атак.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

FaceTime для Windows: як користуватися – ІНСТРУКЦІЯ

Чому перевірка готовності Вашого ПК до Windows 11 видає неможливість встановлення?

Як безпечно користування соціальними мережами? ПОРАДИ

В Україні поширюється онлайн-грумінг: як захистити Ваших дітей? ПОРАДИ

Що можуть Google та Apple віддалено зробити з Вашим смартфоном?

Як “скинути” рекламний ідентифікатор на Android? ІНСТРУКЦІЯ

До речі, Google видалила з Play Store дев’ять Android-додатків, в цілому завантажених 5,8 млн разів, що, як виявилося, викрадали облікові дані користувачів для авторизації в Facebook.

Щоб виявити, які пристрої “розумного” будинку атакують найбільше, експерти налаштували і підключили до Інтернету уявний “розумний” будинок, що містив різні пристрої – від смарт-телевізорів і термостатів до камер відеоспостереження, принтерів і “розумних” чайників.

Винахідник інтернету сер Тім Бернерс-Лі продав на аукціоні Sotheby’s оригінальний код, за допомогою якого він колись створив Інтернет.

Окрім цього, компанія Apple 30 червня відкрила офіційний офіс в Україні – компанія планує самостійно ввозити техніку в Україну та контролювати магазини офіційних дилерів, які надають послуги компанії в Україні.

Ця стаття Microsoft закликала користувачів якомога швидше оновити інструмент PowerShell раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин