После волны инцидентов с нарушением безопасности, компания Apple сделала определенные шаги для того, чтобы в 2016 году не повторились проблемы с ее программным обеспечением, которые все могли наблюдать в последние месяцы. Были применены меры безопасности вместе с обновлениями ее операционных систем для мобильных устройств (iOS) и Mac (OS X), ее телевизионного сервиса (Apple TV), веб-браузера Safari, а также операционной системы для ее нашумевших смарт-часов (watchOS).
Этот шаг был обусловлен тревожным числом уязвимостей, которые присутствовали в ее программном обеспечении. Чтобы дать некоторое представление о той ситуации, в которую попала Apple, когда были выпущены обновления для версии 9.2 операционной системы iOS, то необходимо сказать, что было обнаружено свыше 50 инцидентов безопасности, в то время как количество проблем с OS X достигло свыше сотни.
Apple выпустила обновления безопасности для операционных систем, работающих на устройствах iPhone, компьютерах Mac, Apple TV и различных версиях смартчасов, а также для Xcode и Safari.
• Обновления Xcode (v7.2) содержат исправления для четырех багов, у Safari (v9.0.2) — 12 (все в Webkit), большинство из которых могут привести к произвольному выполнению кода, если пользователь посетит зараженный вредоносными программами веб-сайт.
• Обновление tvOS (v9.1) закрывает 48 брешей безопасности, включая вышеуказанные 12 багов в Safari. Большинство других дыр безопасности могут быть спровоцированы вредоносными приложениями, зараженными изображениями и веб-сайтами, и они могут привести к произвольному выполнению кода, чаще всего связанного с ядром или системными правами. Инцидент с повреждением памяти в обработке протокола SSL может удаленно использоваться хакером для выполнения кода на ТВ-устройстве.
• iOS 9.2 устраняет 50 уязвимостей, многие из которых являются уязвимостями, позволяющими удаленно выполнять какой-либо код в различных компонентах iOS. watchOS 2.1 содержит многие такие же исправления, как и в iOS 9.2 (исправления в WebKit исключены).
• OS X El Capitan 10.11.2 (и обновления безопасности 2015-008 для Mavericks и Yosemite) исправляет 54 инцидента, включая пару инцидентов в PHP, несколько – в LibreSSL, что может позволить вредоносному приложению притвориться Keychain Server, а также инцидент с повреждением памяти при обработке протокола SSL. Также было исправлено несколько проблем со стабильностью.
Данное обновление еще содержит безопасность контента Safari 9.0.2., кроме того, теперь плагин веб-браузера для QuickTime 7 уже не включен по умолчанию.
Почти половина из числа этих уязвимостей позволяла кибер-преступникам перехватить контроль над устройством, подключившись к нему через невольно установленное вредоносное приложение.
Кажется странным, что Apple вынуждена латать дыры безопасности в своем ПО, в то время как ее поклонники многие годы яро хвастались тем, что никакие вредоносные программы и риски не могут бросить тень на блеск их любимого бренда.
Впрочем, выяснилось, что они сильно заблуждались, т.к. на протяжении многих лет все же не существовали угрозы для данных операционных систем, а последние годы были одними из самых кошмарных для компании в этом плане.
Согласно недавнему исследованию, количество вредоносных программ, созданных для операционной системы Mac в 2015 году, было в пять раз больше, чем общее количество угроз, созданных за последние пять лет. Таким образом, уровень безопасности устройств Apple и ее пользователей достигло очень низкого уровня.
Эти плохие новости, с другой стороны, имеются некоторые хорошие моменты для Apple: если создается все больше и больше образцов вредоносных программ для ее операционных систем, то это означает, что бренд становится все более популярным. До этого момента, учитывая, что Windows (или Android в случае с мобильными устройствами) имел львиную долю рынка, то вполне логично было предположить, что кибер-преступники приложили бы больше усилий, чтобы воспользоваться уязвимостями в операционной системе Microsoft.
Однако такой рост означает, что в настоящее время Apple становится все более привлекательной мишенью для кибер-преступников, т.к. они смогут получить больше доходов от своих вредоносных программ. Компания Apple сумела закончить год, прикрыв многочисленные бреши в своем ПО патчами безопасности, но это только начало: вполне вероятно, что следующий год покажет нам еще больше брешей безопасности, которые необходимо будет закрывать.
Автор: Panda Security в России
