Månad i granskning: Apple Security i januari 2017
Året har bara börjat, och det finns redan mycket att prata om när det gäller Apples användarsäkerhet och integritet!
Här är några av höjdpunkterna från den senaste månadens säkerhetsnyheter som är relevanta för användare av Mac-datorer, iPhones, iPads och andra Apple-produkter.
ClientCapture (Fruitfly, Quimitchin) Malware upptäckt
För två veckor sedan analyserade Intego malware-prover som upptäcktes av en universitetets IT-administratör, som hittades efter att konstig nätverkstrafik hade observerats på en Mac Pro. Skadlig kod (komponenterna som Intego VirusBarrier upptäcker som OSX / ClientCapture, Perl / ClientCapture och Java / ClientCapture) verkar ha varit en del av en riktad attack och kan ha funnits på universitetets dator i flera år innan den upptäcktes och skickades till Intego och andra företag för analys.
Apple kallar hotet “Fruitfly”, och det är också känt som “Quimitchin.” Se Integos skrivning för mer information: Targeted Malware Attacks and the Importance of Layered Protection.
Mobilappen “Meitu” har integritetsrisker
Det rapporterades förra veckan att en iOS- och Android-app ringde Meitu, som förvandlar selfies till anime-karakteriseringar, innehåller ett antal integritetsrisker. Appen, som utvecklades i Kina och har funnits i App Store i flera år, har nyligen blivit populär.
Säkerhetsforskare Jonathan Zdziarski tog till Twitter för att erbjuda sin syn på Meitu:
Sammanfattning: Meitu är ett sammanflöde av flera analys- och marknadsförings- / annonsspårningspaket, med något sött för att få människor att använda det.
– Jonathan Zdziarski (@JZdziarski) 19 januari 2017
Wired rapporterade att Zdziarski hade identifierat “åtminstone ett halvt dussin” analys- och spårningspaket i appen och noterade: “Du behöver i allmänhet inte så många om du inte säljer data.”
En annan säkerhetsforskare, Will Strafach, publicerade en kort teknisk skrivning av Meitu för iOS.
Är det verkligen värt att offra din integritet för detta?
Apples säkerhetsuppdateringar
Apple har släppt säkerhetsuppdateringar för följande programvara den här månaden:
- macOS Sierra 10.12.3 (den senaste versionen av ”OS X” för kompatibla Mac-datorer) fixar sårbarheter som beskrivs i 11 CVE-ID (vanliga sårbarheter och exponeringar) relaterade till PHP, Bluetooth, Help Viewer, Vim, arkivfilhantering, grafik- och ljuddrivrutiner och kärnan ( operativsystemets kärna)
- Safari 10.0.3 (tillgängligt för Mac-datorer som kör Sierra, El Capitan eller Yosemite) fixar sårbarheter som beskrivs i 12 CVE, varav 11 är relaterade till WebKit-webbläsarmotorn, och en av dem är specifik för Safari och förhindrar ett problem där en skadlig webbplats kan förfalska Safaris adressfält
- iOS 10.2.1 (för iPhone, iPad och iPod touch) fixar sårbarheter som beskrivs i 18 CVE, inklusive 12 relaterade till WebKit-webbläsarmotorn, två relaterade till kärnan och en som var och en relaterar till arkivfilhantering, Kontakter (förhindrar ett skadligt utformat kontaktkort från orsakar programavslutning), Wi-Fi (förhindrar att en aktiveringslåst enhet manipuleras för att kort presentera startskärmen) och automatisk upplåsning (förhindrar att en enhet låses upp medan en Apple Watch är utanför användarens handled)
- watchOS 3.1.3 (för Apple Watch) korrigerar sårbarheter som beskrivs i 33 CVE, inklusive nio relaterade till kärnan, två relaterade till tolkning av teckensnittsfiler, två relaterade till ljudfilbehandling, två relaterade till WebKit, två relaterade till arkivfilhantering och en mängd andra varav den allvarligaste kan tillåta en lokal användare att få root-privilegier (fullständiga administrativa rättigheter) på en Apple Watch
- tvOS 10.1.1 (för Apple TV) fixar sårbarheter som beskrivs i 12 CVE: er, inklusive nio relaterade till WebKit, två relaterade till kärnan och en relaterad till arkivfilhantering
- iTunes för Windows 2.5.5 och iCloud för Windows 6.1.1 åtgärda sårbarheter relaterade till WebKit-webbläsarmotorn, beskriven i fyra CVE: er (alla är fixade för Mac-datorer via Safari 10.0.3-uppdateringen)
- Tidigare den här månaden, GarageBand 10.1.5 och Logic Pro X 10.3 släpptes, båda fixade en sårbarhet som beskrivs i en enda CVE; dessa uppdateringar förhindrar skadligt skapade filer från att orsaka godtycklig kodkörning (dvs. göra dåliga saker på din Mac)
- Apple släppte också Säkerhetsuppdatering 2016-003 Kompletterande (10.11.6) för El Capitan-användare, en uppdatering av en patch i december, som fixar ett kärnproblem som kan orsaka att operativsystemet inte svarar (Apple identifierade inte några ytterligare sårbarheter som lappats av denna kompletterande uppdatering)
Intego har skrivit mer om veckans uppdateringar här: Apple släpper macOS Sierra 10.12.3 och mer med säkerhetsfixar.
Slutsatsen: var noga med att söka efter och installera uppdateringar på alla dina Apple-enheter!
Scam Site lanserade DoS mot unpatchade Mac-datorer
I början av januari inledde en bluffwebbplats (som inte längre är online) en denial-of-service attack (DoS) mot Mac-datorer som kör Safari på äldre versioner av macOS. Webbplatsen skulle få Mail att skapa en uppsjö av e-postutkast med en ämnesrad som innehåller orden ”Varning! Virus upptäckt! ” och så småningom få Mac att krascha. Användare som kör de senaste versionerna av macOS och Safari påverkades inte av detta e-postutkast för denial-of-service-attack; istället orsakade bluffplatsen en enda falsk virusvarning i Macs iTunes-app. På iOS skulle bluffwebbplatsen dyka upp ett enda e-postutkast åt gången, men fortsätta att presentera ett nytt utkast varje gång utkastfönstret stängdes. Se Integos skrivning för mer information: Denial of Service Attack riktar sig mot Mac- och iOS-användare.
En viktig lektion här är att det är viktigt att hålla din Apple-programvara uppdaterad för att göra den mindre mottaglig för attacker – inklusive, men inte begränsat till, attacker från skadliga webbplatser.
Apple CareKit införlivar “ZeroKit” -säkerhet
Mashable rapporterade att Apples CareKit-plattform med öppen källkod snart kommer att inkludera teknik som kallas ZeroKit, utvecklad av säkerhetsföretaget Tresorit. Enligt rapporten kommer ZeroKit “att erbjuda användarautentisering för patienter och sjukvårdspersonal, end-to-end-kryptering av hälsodata och” noll kunskapsdelning “av hälsodata, vilket innebär att data inte kommer att vara tillgängliga för någon annan part under genomresa. Målet med ZeroKit är att göra det lättare för utvecklare av vårdappar att tillhandahålla bättre säkerhet för slutanvändare.
Håll dig uppdaterad! Prenumerera på Mac-säkerhetsbloggen
Det är det för den här månadens säkerhetsomgång! Var noga med att prenumerera på Mac-säkerhetsbloggen för att hålla dig informerad om Apples säkerhet.
Du kanske också är intresserad av Integos senaste djupgående täckning som lyfter fram de bästa säkerhetsnyheterna från Apple 2016:
Året i Mac-säkerhet 2016
Om Joshua Long
Joshua Long (@theJoshMeister), Integos Chief Security Analyst, är en känd säkerhetsforskare, författare och talare. Josh har en magisterexamen i IT-koncentration inom Internetsäkerhet och har tagit doktorsexamen i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har genomfört cybersäkerhetsforskning i mer än 20 år, som ofta har presenterats av stora nyhetsbutiker världen över. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Detta inlägg postades i Säkerhet & Sekretess, Säkerhetsnyheter och taggade ClientCapture, Meitu, Månad i säkerhet. Bokmärk permalänken.