Apple iOS 18 a iPadOS 18 představují řadu různých vylepšení a oprav zabezpečení. Zde je to, co potřebujete vědět, a proč byste měli zvážit okamžitou aktualizaci.
V pondělí Apple vydal své nejnovější operační systémy iOS 18 a iPadOS 18, čímž je konečně zpřístupnil široké veřejnosti. I když samotné aktualizace představují řadu nových funkcí, obsahují také mnoho důležitých bezpečnostních oprav.
Stejně jako u každé velké aktualizace systému iOS opravuje iOS 18 základní bezpečnostní problémy související s různými funkcemi a aspekty operačního systému. Mnoho oprav představených v pondělí zabraňuje útočníkům, aplikacím a neoprávněným uživatelům získat přístup k citlivým uživatelským informacím, jako jsou kontaktní údaje nebo fotografie.
iOS 18 zavádí různé opravy zabezpečení související s usnadněním. Tyto nyní opravené zranitelnosti související s přístupností poskytly útočníkům fyzický přístup k uzamčeným zařízením způsoby přístupu k citlivým uživatelským datům.
Jedna z výše uvedených chyb zabezpečení umožňovala útočníkům používat Siri jako prostředek ke shromažďování citlivých dat, zatímco jiná umožňovala útočníkům ovládat okolní zařízení pomocí funkcí usnadnění. Oba bezpečnostní problémy byly opraveny společností Apple prostřednictvím „vylepšeného řízení státu“.
Další bezpečnostní problém umožnil útočníkům používat asistenční přístup k zobrazení posledních fotografií bez ověření. Apple vyřešil tuto chybu zabezpečení v systému iOS 18 omezením možností nabízených na uzamčeném zařízení.
Opravy zabezpečení v iOS 18, které udržují vaše data v bezpečí
Control Center obdrželo opravu bezpečnostního problému, který umožňoval aplikacím zaznamenávat obrazovku bez zobrazení správného indikátoru ve stavovém řádku, což znamená, že uživatelé nemuseli vědět, že byla jejich obrazovka zaznamenána. Apple tento bezpečnostní problém vyřešil pomocí „vylepšených kontrol“.
FileProvider a Game Center měly bezpečnostní problémy, které umožňovaly aplikacím přístup k citlivým uživatelským datům. Apple vyřešil problém FileProvider v iOS 18 tím, že použil vylepšené ověřování symbolických odkazů a vyřešil problém s přístupem k souborům v Game Center vylepšeným ověřováním.
Problém ochrany osobních údajů v aplikaci Mail, který objevil Rodolphe Brunetti, znamenal, že aplikace měly přístup k kontaktním informacím uživatele. Apple tento problém vyřešil pomocí „vylepšené redakce soukromých dat pro položky protokolu“.
Problém se zabezpečením sandboxu, který objevil Csaba Fitzl z Offensive Security, umožnil aplikacím unikat citlivé uživatelské informace. iOS 18 řeší tento problém pomocí vylepšené ochrany dat. Podobně problém s oprávněními Transparency umožnil aplikacím přístup k citlivým uživatelským datům. Apple tento problém vyřešil dalšími omezeními.
Bezpečnostní funkce iOS 18 zabraňují útokům denial-of-service
Některé z nyní opravených zranitelností umožňovaly špatným hercům provádět takzvané denial-of-service nebo DoS útoky.
Problém s mDNSresponderem znamenal, že aplikace mohly způsobit odmítnutí služby, zatímco problémy s ImageIO a ModelI/O znamenaly, že zpracování obrazu mohlo způsobit odmítnutí služby. Vzdálení útočníci byli také schopni způsobit odmítnutí služby prostřednictvím dříve neopraveného problému s mobilním zabezpečením.
iOS 18 řeší chybu logiky mDNSResponder lepším zpracováním chyb, zatímco problém s celulární sítí byl vyřešen vylepšenou správou stavu. Vylepšená kontrola hranic opravila problém ImageIO, zatímco problém zabezpečení ModelI/O řešila třetí strana, protože se týká softwaru s otevřeným zdrojovým kódem.
Safari obdrželo záplaty pro dvě samostatné zranitelnosti, které objevili Kenneth Chew a Anamika Adhikari a které obě umožňovaly přístup ke kartám soukromého prohlížení bez předchozího ověření. Tyto dva bezpečnostní problémy byly opraveny společností Apple v iOS 18 a iPadOS 18 prostřednictvím vylepšené správy stavu.
Dvě zranitelnosti WebKit související se škodlivým webovým obsahem byly také opraveny v iOS 18. Jeden z bezpečnostních problémů umožnil škodlivým webům exfiltrovat data napříč původem, zatímco druhý znamenal, že zpracování škodlivého obsahu z webu by mohlo vést k univerzálnímu skriptování mezi weby. To druhé bylo opraveno vylepšeným řízením stavu, zatímco to první bylo vyřešeno pomocí „vylepšeného sledování původu zabezpečení“.
Podobně bezpečnostní problém libxml2 znamenal, že zpracování škodlivého webového obsahu by mohlo vést k neočekávanému selhání procesu. U tohoto problému Apple řešil přetečení celého čísla prostřednictvím vylepšeného ověřování vstupu.
Problém zabezpečení související s WiFi byl opraven také v systému iOS 18. Nyní vyřešený bezpečnostní problém umožnil útočníkům vynutit si odpojení zařízení od zabezpečené sítě. Apple opravil tento problém s integritou s iOS 18 prostřednictvím „Beacon Protection“.
Andrew Lytvynov informoval Apple o samostatném problému s logikou jádra, který umožnil únik síťového provozu mimo tunel VPN. Apple tento logický problém vyřešil pomocí „vylepšených kontrol“.
Podobně problém NetworkExtension umožnil aplikacím získat neoprávněný přístup k místní síti zařízení. Stejně jako u mnoha dalších bezpečnostních problémů v tomto seznamu Apple tento problém vyřešil vylepšenou správou stavu.
Siri také obdržela dvě důležité bezpečnostní opravy. Jedna z nich řeší zranitelnost, která dříve umožňovala aplikacím přístup k citlivým uživatelským informacím. Druhá oprava zabraňuje útočníkům s fyzickým přístupem vidět kontakty uživatele přes zamykací obrazovku.
Bluetooth a další opravy zabezpečení iOS 18
Několik výzkumníků oznámilo bezpečnostní problém související s jádrem, který aplikacím umožnil neoprávněný přístup k funkci Bluetooth. Stejně jako u dříve zmíněných zranitelností pro Safari byl problém vyřešen prostřednictvím „vylepšeného řízení stavu“.
Další problém související s Bluetooth umožnil škodlivým vstupním zařízením Bluetooth obejít párování. Vylepšená správa stavu řeší tento problém v iOS 18.
UIKit obdržel opravu zabezpečení, která řeší chybu zabezpečení, která dříve umožňovala útočníkům způsobit neočekávané ukončení aplikace. Apple tento problém vyřešil v iOS 18 použitím vylepšených kontrol hranic.
Úplný seznam bezpečnostních aktualizací a oprav pro iOS 18 a iPadOS 18 je k dispozici na bezpečnostním webu společnosti Apple. Kromě již zmíněných oprav zabezpečení Apple také řešil různé další problémy související s IOSurfaceAccelerator, Notes, Printing a dalšími.
Je důležité, aby byl váš operační systém vždy aktuální, protože nejnovější bezpečnostní opravy společnosti Apple zajišťují, že špatní herci budou mít mnohem obtížnější získat vaše soukromá uživatelská data.
Zdroj: appleinsider.com