Månad i granskning: Apple Security i april 2017
Slutet av april är över, kan du tro att det är nästan maj redan? Mycket har hänt sedan den här tiden förra månaden, så låt oss hoppa direkt in i Aprils säkerhetsnyhetsomgång.
Några av höjdpunkterna i april inkluderar Apples säkerhetsuppdateringar, en nätfiskebedrägeri riktad till iPhone-användare och en uppdatering av Apple ID-utpressningsförsöket, bland en aning andra viktiga säkerhetsnyheter. Läs vidare för detaljer!
Apples säkerhetsuppdateringar (och, oj … osäkerhet)
Apple släppte flera säkerhetsuppdateringar i slutet av mars och början av april.
Vi täckte följande uppdateringar i denna artikel i slutet av förra månaden:
- macOS Sierra 10.12.4
- Säkerhetsuppdatering 2017-001 för El Capitan och Yosemite
- iOS 10.3
- tvOS 10.2
- watchOS 3.2
- Safari 10.1
- Keynote 7.1, Nummer 4.1och Sidor 6.1 för Mac
- Keynote, Numbers och Pages 3.1 för iOS
- macOS Server 5.3
Apple släppte därefter följande säkerhetsuppdateringar:
- iCloud för Windows 6.2 löste sex CVE: er genom att förbättra certifikat- och minneshantering och ingångsvalidering, vilket avslöjats av Apple här
- iOS 10.3.1 mildrade ett allvarligt problem med Broadcoms Wi-Fi-system på ett chip (SoC) som finns i många iOS- och Android-enheter som kunde ha gjort det möjligt för en närliggande angripare att köra godtycklig kod på Wi-Fi-chipet, som avslöjats av Apple här, med ytterligare täckning från Tech Times
- Apple Music 2.0 för Android löste ett certifikatvalideringsproblem som kunde ha gjort det möjligt för en angripare i en privilegierad nätverksposition att få känslig användarinformation, som avslöjas av Apple här
Tillsammans med dessa säkerhetsuppdateringar introducerade Apple dock oavsiktligt också en ny osäkerhet.
Enligt Macs säkerhetsforskare Patrick Wardle introducerade Apple oavsiktligt en ny nolldagars sårbarhet i macOS Sierra 10.12.4 i ett försök att fixa ett annat säkerhetsfel som Wardle hade rapporterat.
Apple ‘fixade’ en av mina rapporterade kärnfel i macOS 10.12.4 av 1) fixade inte alls 2) introducerade en 0-dagars kärninfoläckage? #️ # 0day https://t.co/YtMDjrj9uP
– Patrick Wardle (@patrickwardle) 6 april 2017
Utnyttjande av sårbarheten kräver att granskning på nätverksnivå är aktiverad, vilket Wardle-anteckningar måste aktiveras med root-behörigheter. Av denna anledning är det osannolikt att många slutanvändare kommer att påverkas av denna sårbarhet innan Apple släpper en fix.
Mer än två veckor efter att Wardle publicerat de fullständiga detaljerna om sina resultat har Apple fortfarande inte släppt en uppdatering för macOS Sierra för att hantera denna sårbarhet.
SMS Phishing Scam riktar sig till iPhone-användare
BGR rapporterade att phishing-scam-textmeddelanden riktade till iPhone-användare har gjort rundorna den senaste veckan.
Vissa iPhone-användare har fått SMS-meddelanden som hävdar att deras Apple-ID kommer att inaktiveras, såvida de inte bekräftar sin “information” genom att trycka på en förkortad URL.
Apple inaktiverar aldrig ditt Apple-ID förrän du trycker på en länk i ett textmeddelande.
Den som kan ha blivit offer för denna bluff ska ändra sitt lösenord omedelbart på https://appleid.apple.com. Vi rekommenderar också Apple-användare att aktivera tvåfaktorautentisering för deras Apple-ID för att undvika att deras konto äventyras av liknande bedrägerier.
Apple ID “Breach” Extortion Update
Förra månaden, rapporterade vi att en grupp av utpressare som kallade sig Turkish Crime Family hotade att fjärradera Apple-enheter och återställa iCloud-konton om Apple inte hade betalat en rejäl lösen på 75 000 US dollar den 7 april.
Apple hävdade förra månaden att iCloud själv inte hade brutits, och detta påstående bekräftades av en rapport i början av april från “Har jag blivit pwned?” skaparen Troy Hunt, som bekräftade att den primära källan till Apples e-postadresser och lösenord som Turkish Crime Family hade delat med reportrar tycktes ha varit ett tidigare intrång i spelföretaget Evony.
Så vad hände den 7 april? Det fanns inga större mediarapporter som tyder på att ett stort antal enheter har raderats på distans eller att iCloud-konton har återställts. När det gäller turkisk brottsfamilj hävdade ett Twitter-konto som uppenbarligen tillhörde gruppen att mer än 476 000 dollar i Bitcoin hade betalats till gruppen den 7 april. Implikationen att lösen hade betalats verkar ganska misstänksam med tanke på att gruppen bara hade bett Apple för 75 000 dollar.
Brottsgruppens Twitter-konto har inte uppdaterats sedan den 7 april.
Hitta min Mac enkelt inaktiverad med fysisk åtkomst
Mac Observer rapporterade att det är möjligt att inaktivera Apples Find My Mac-funktion genom att helt enkelt återställa en Macs NVRAM (en klassisk Mac-reparationsfunktion som en gång kallades “zapping the PRAM”).
Således, om en tjuv stjäl din Mac, skulle de i teorin helt enkelt kunna starta om din Mac (hålla ner Command-Option-PR-tangenttryckningen) och förhindra att du kan hitta din dator.
För att mildra svagheten rekommenderade TMO att du ställer in ett lösenord för firmware på din Mac. På en Mac med ett fast programvarulösenord kan NVRAM inte återställas utan att först ange lösenordet vid starttiden.
Inofficiell App Store dold i en App Store-app
En inofficiell appbutik var tillfälligt tillgänglig i en app i Apples officiella App Store, enligt en rapport från iTnews.
Enligt rapporten var en japanskspråkig app som påstod sig ha varit ett hushållsprogram för ekonomisk hjälp i själva verket ett subversivt sätt att få en inofficiell mandarin-kinesisk-appbutik förbi Apples kontrollprocess för att få den till den officiella App Store. .
Det är oklart vad exakt utvecklarens avsikt var; kanske var det avsett som ett sätt att installera appar från tredje part eller modifierade versioner av appar utan att behöva jailbreaka en enhet. En app som fanns i den inofficiella butiken var dock en jailbreaking-app.
Den viktiga take-away för användare av iPhone-, iPad- och iPod touch-enheter är att Apples app-kontrollprocess inte är perfekt, och ibland tar vissa tvivelaktiga appar sig in i App Store. Användare bör vara försiktiga med alla App Store-appar som antingen är nya eller har mycket få recensioner.
Unicode-implementeringsproblem underlättar nätfiske
En implementeringsfråga för hur webbläsarna Mozilla Firefox, Opera och Google Chrome har visat webbadresser kan göra det lättare för en angripare att skapa en mycket övertygande phishing-webbplats, vilket förklaras av Wordfence.
I huvudsak kan en angripare registrera en domän med en URL som i Firefox och Opera (och gamla versioner av Chrome) ser identisk ut eller nästan identisk med adressen till en legitim webbplats.
Wordfence använde exemplet med epic.com, en hälsovårdswebbplats, och registrerade domänen “xn--e1awd7f.com” som använder identiska, internationaliserade domännamn (IDN) -tecken som i vissa webbläsare visas som “epic.com” i adressfältet.
Mindre än en vecka efter att Wordfence publicerade sina resultat registrerade en annan forskare en liknande apple.com-domän, xn--80ak6aa92e.com, enligt Ars Technica.
Båda webbplatserna har ett gratis TLS-certifikat (“SSL”) från LetsEncrypt, vilket ger legitimitet till hur webbplatserna visas i berörda webbläsares adressfält.
Idén med IDN-homografattacker är inte ny; det finns faktiskt en Wikipedia-artikel för det. Men efter den senaste medieuppmärksamheten vidtar två av de tre berörda webbläsarna åtgärder för att ta itu med problemet.
Google har redan mildrat problemet genom att släppa Chrome version 58.
Opera-användare kan använda betaversionen, 45, eller utvecklarversionen, 46, som mildrar problemet. Den nuvarande stabila versionen, version 44 (44.0.2510.1218), åtgärdar inte problemet.
Under tiden, enligt Ars Technica, har Mozillas ledande utvecklare angett att de inte planerar att ta itu med problemet genom att ändra Firefox: s standardbeteende. Firefox-användare som vill mildra problemet själva kan göra följande:
- Skriv “about: config” i adressfältet
- Håller med om att acceptera risken
- Sök efter “nätverk.IDN_show_punycode”
- Dubbelklicka på objektet för att ändra från standardinställningen “falsk” till “sann”
Apples Safari-webbläsare visar inte dessa webbplatsers adresser på ett vilseledande sätt.
EFF släpper en “oroande” rapport om Ed-Tech App Privacy
Electronic Frontier Foundation har släppt en rapport (sammanfattning; fullständig rapport) som beskriver integritetshänsyn när det gäller enheter som utfärdats av skolor till studenter. De som arbetar i utbildning eller berörda föräldrar kan vara intresserade av att granska rapporten, som nämner iPads och några populära edtech-appar.
Ed tech-appar visar oroande trender inom datalagring och kryptering. Läs mer i vår nya sekretessrapport för studenter. https://t.co/bxckLiNz4h
– EFF (@EFF) 15 april 2017
Håll dig uppdaterad! Prenumerera på Macs säkerhetsblogg
Var noga med att prenumerera på Mac-säkerhetsbloggen att hålla sig informerad om Apples säkerhet under varje månad.
Om du saknade Integos tidigare Apples säkerhetsnyheter för 2017 kan du kolla in dem här:
Månad i granskning: Apple Security i mars 2017
Månad i granskning: Apple Security i februari 2017
Månad i granskning: Apple Security i januari 2017
Om Joshua Long
Joshua Long (@theJoshMeister), Integos Chief Security Analyst, är en känd säkerhetsforskare, författare och talare. Josh har en magisterexamen i IT-koncentration inom Internetsäkerhet och har gått doktorsexamen i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har genomfört cybersäkerhetsforskning i mer än 20 år, som ofta har presenterats av stora nyhetsbutiker världen över. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Det här inlägget publicerades i Säkerhetsnyheter och märkt Apple, Månad i säkerhet. Bokmärk permalänken.