Apple проблемы с безопасностью

Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью

Если вы считаете, что обнаружили уязвимость в безопасности или конфиденциальности продукта Apple, сообщите нам о ней.

Если вам нужна техническая поддержка по вопросам безопасности, например, чтобы сбросить пароль Apple ID или просмотреть последнюю оплату в iTunes, изучите статью службы поддержки Получение поддержки по вопросам безопасности или обратитесь в службу поддержки Apple.

Если у вас возникли вопросы о политике конфиденциальности или обработке данных компанией Apple, задайте нам вопрос о конфиденциальности.

Как сообщить о проблеме с безопасностью или конфиденциальностью

Если вы считаете, что обнаружили уязвимость в системе безопасности или конфиденциальности, затрагивающую устройства, программное обеспечение, службы или веб-серверы компании Apple, сообщите нам о ней. Мы принимаем сообщения от всех пользователей, в том числе от исследователей безопасности, разработчиков и клиентов.

Чтобы сообщить об уязвимости системы безопасности или конфиденциальности, отправьте сообщение электронной почты на адрес product-security@apple.com, указав в нем следующее.

• Продукт и версия программного обеспечения, на которые повлияла данная проблема
• Описание фактического и ожидаемого поведения
• Пронумерованный список действий для воспроизведения проблемы и видеоролик на случай, если действия могут оказаться сложными для воспроизведения

Воспользуйтесь PGP-ключом безопасности продуктов Apple для шифрования конфиденциальной информации, отправляемой по электронной почте. Для отправки больших файлов можно использовать Mail Drop.

Вы получите автоматический ответ от компании Apple с подтверждением того, что мы получили ваш отчет. Если нам потребуются дополнительные сведения, мы свяжемся с вами.

Как Apple работает с этими сообщениями

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы необходимые обновления.

Компания Apple публикует информацию об исправлениях безопасности, а также перечень лиц и организаций, сообщивших нам о существующих проблемах безопасности, в уведомлениях об обновлениях системы безопасности и электронной почтовой рассылке по безопасности. Мы также упоминаем исследователей, которые сообщают о проблемах безопасности на наших веб-серверах, на этой странице.

В определенных случаях компания Apple выплачивает вознаграждение пользователям за то, что поделились критическими проблемами безопасности. Узнайте больше о программе Apple Security Bounty.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Источник

Помощь по устранению проблем с безопасностью

На этой странице представлены сведения о безопасности продукции Apple для клиентов, разработчиков, сотрудников правоохранительных органов и журналистов.

Компания Apple прилагает все возможные усилия для защиты безопасности и конфиденциальности наших клиентов. Подробнее вы можете узнать на страницах, посвященных конфиденциальности, которые включают советы и сведения для обеспечения безопасности ваших устройств и данных. Вы также можете задать нам вопрос о конфиденциальности.

Если вы считаете, что обнаружили в продукте Apple уязвимость для безопасности или конфиденциальности, узнайте, как сообщить об этом.

Предоставленные ниже сведения могут помочь вам решить проблему, связанную с безопасностью, или дать ответ на соответствующий вопрос. Если потребуется дополнительная помощь, обратитесь в службу поддержки Apple.

Пароли и покупки

• Если вы считаете, что ваша учетная запись Apple (идентификатор Apple ID) была взломана, немедленно измените пароль.
• Если вы забыли пароль к идентификатору Apple ID, узнайте, как сбросить его.
• Если у вас возникнут вопросы по поводу списаний средств, вы можете просмотреть свои недавние покупки в магазине App Store или iTunes Store.

Фишинг и другие способы мошенничества

Если вы получили подозрительное сообщение электронной почты, которое выглядит так, словно его отправила компания Apple, вы можете перенаправить его на адрес reportphishing@apple.com. Подробнее о фишинге и других способах мошенничества можно узнать в этой статье.

Потеря или кража устройств

• Узнайте, что делать в случае утери или кражи iPhone, iPad либо iPod touch.
• Узнайте, что делать в случае утери или кражи Apple Watch.
• Узнайте, что делать в случае утери или кражи компьютера Mac.

Ресурсы для разработчиков

Для выдачи или отзыва сертификата свяжитесь со службой Apple Developer Connection.

Правоохранительные органы

Ознакомьтесь с этими рекомендациями по обращению в Apple с запросами от правоохранительных органов:

Журналисты

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Источник

Безопасность iPhone: правда или миф?

Константин Иванов

Все мы не раз и не два слышали, как владельцы продукции компании из Купертино утверждают, что обе ее операционные системы – iOS и macOS—практически неуязвимы, если речь заходит о вредоносном программном обеспечении. Однако, с другой стороны, каждому из нас уже буквально вдолбили в голову (из лучших побуждений!), что не бывает абсолютно неуязвимого к атакам ПО: все, что имеет подключение к сети Интернет, может быть взломано. Впрочем, закрытость экосистемы Apple в отношении программного обеспечения, безусловно, выдержала проверку временем, предоставив один из самых безопасных, последовательных и стабильных вариантов пользовательского опыта своим приверженцам.

Пользователи Android, в свою очередь, часто жалуются на отсутствие во «вражеском лагере» свободы, таких функций, как прямая передача музыки и видеофайлов между iPhone и ПК (для этого требуется наличие iTunes или другие сторонние приложения-посредники), или же им не хватает доступа к бесчисленным приложениям от независимых разработчиков, которые можно загружать прямо из браузера. Android предоставляет все эти свободы и дает прекрасную возможность настраивать большую часть основных функций благодаря открытому исходному коду. Тем не менее, мы часто склонны игнорировать тот факт, что из-за кажущегося чрезмерным желания все контролировать Apple фактически сохраняла свои гаджеты вне пределов досягаемости для большинства типов вредоносных программ, которым легко подвержены пользователи других ОС.

Вирус Silver Sparrow

Было бы слишком оптимистично утверждать, что операционные системы компании Apple абсолютно неуязвимы. Так, совсем недавно Red Canary, фирма, специализирующаяся на кибербезопасности, представила шокирующий доклад о вирусе, который затронул около 30 000 систем, работающих на macOS.

Это стало прямым вызовам предполагаемой непогрешимости систем безопасности Apple мирового класса, установленных на всех ее устройствах, и никто не знает, как это оказалось возможным. Вы спросите: что делает этот вирус? Ну, он просто существует … пока что. Однако он может нанести значительный вред, если только его создатели решат это сделать. Каждый час вирус проверяет командный сервер для получения инструкций. Apple работает над сдерживанием угрозы, но если MacBook так легко взломать, может ли ваш iPhone стать следующей жертвой?

Характерна и реакция представителя компании Apple, который заявил, что «нет никаких доказательств того, что обнаруженное ими вредоносное ПО передавало вредоносные данные зараженным пользователям». Впрочем, компания отозвала сертификаты учетных записей разработчиков, которые использовались для подписи пакетов, чтобы предотвратить дальнейшее заражение новых компьютеров Mac.

Награда за взлом

В 2019 году Apple сделала широкий жест, пообещав награду в миллион долларов любому, кому удастся взломать iPhone, — но, возможно, им не стоило заходить настолько далеко. Такое же состязание до того устроила фирма Zerodium, предлагающая вознаграждения за поиск багов путем взлома, в 2015 году. Неизвестная команда приняла вызов и выиграла миллион, взломав iOS 9. Это удалось им благодаря выполнению полного удаленного джейлбрейка на основе браузера, который запускался изнутри, когда пользователь открывал вредоносную ссылку или сообщение. Ущерб от этой уязвимости для Apple наверняка оказался бы больше, чем сумма вознаграждения. А награда, объявленная компанией в 2019 году, еще никому не досталась, по крайней мере, об этом ничего не известно. Но вполне вероятно, что те, кто может на нее претендовать, заинтересованы в повышении ставок.

Взлом без единого клика реален

Всего лишь пару месяцев назад была обнаружена израильская шпионская программа под названием Kismet, способная внедряться в iPhone через существующую уязвимость в приложении iMessage. Причем сообщение всего лишь должно было быть получено на устройстве, и шпионская программа получала над ним контроль, не оставляя никаких следов. Так и не известно, сколько вреда наделало это ПО, прежде чем Apple устранила уязвимость в iOS 14.

Когда в прошлом году взломали айфон Джеффа Безоса, стало очевидно, что знаменитые невероятно сложные системы безопасности Apple могут сослужить компании и ее пользователям плохую службу. Ведь хватит того, чтобы достаточно умный вирус или вредоносное ПО единожды проникли внутрь, и они легко смогут оставаться незамеченными долгое время за бесконечными строками кода.

Apple любит хранить молчание

Тот факт, что Apple окружает ореолом секретности свои стратегии и патчи безопасности, редко раскрывая детали, добавляет еще больше неопределенности к проблеме безопасности программного обеспечения iPhone. Насколько пользователи продуктов компании защищены на самом деле? Если какая-то часть их устройств в настоящее время являются взломанными, могут ли они рассчитывать, что им об этом сообщат? Очевидно, что информация о взломах или возможных нарушениях конфиденциальности или безопасности в iOS – это вопрос на миллионы долларов, который решается между большими шишками.

Кстати, в какой-то степени и хорошо, что вам никогда не позвонят из Apple, чтобы сообщить о проблемах с безопасностью. Если с вами каким-либо образом свяжется кто-то, утверждающий, что является представителем компании, и сообщит, что вас взломали, то это, скорее всего, фишинговое мошенничество – никогда не нажимайте на ссылки и не предоставляйте никакой информации злоумышленникам.

Само собой разумеется, что любое устройство Apple после джейлбрейка теряет многие функции безопасности и автоматически подвергается большему риску заражения. Тем не менее, для большинства пользователей iPhone это не особенно актуальная информация, ведь они отдают Apple свои деньги в обмен на обещание простоты, стабильности, последовательности и, что, возможно, наиболее важно, безопасности. Но если вы думаете, что «все, что происходит в вашем iPhone, остается в вашем iPhone», увы, это не всегда так. И хотя преимуществом Apple, безусловно, является одна из самых современных систем безопасности, в наши дни идеальную безопасность гарантировать невозможно.

Источник

Apple и нулевая безопасность для пользователей. Сломанная iOS

Обожаю “здравый смысл”, на основании которого делают далеко идущие выводы. Например, когда говорят, что Apple заботится о безопасности своих пользователей и защищает их от внешних угроз. Ведь не может компания рекламировать конфиденциальность и при этом не уделять этому внимания? То, что в Apple маркетинг подменяет собой реальные шаги, можно убедиться, почитав новости, но многие стараются этого не делать, ведь тогда картина мира трещит по швам и придется включать голову и задумываться о происходящем. Любая иная компания, что дала бы доступ к миллионам компьютеров при вводе пароля admin, была бы распята, но в Apple просто срочно исправили проблему в MacOS. А как вам возможность слушать чужой iPhone через Facetime, когда прослушиваемый просто не догадывался об этом, жертва продолжала заниматься своими делами, а ее телефон исправно передавал все, что слышал? Когда я демонстрировал на практике эти трюки, доступные даже школьнику, меня исправно поражала реакция людей, они отказывались верить, что это возможно и доступно де-факто любому человеку в тот момент. Ведь поверить в то, что Apple – это абсолютно голый король, невозможно. Возникал когнитивный диссонанс, который заводил нас в дебри оправдательной логики: “это частный случай и такое невозможно”, “наверное, ты умелый хакер, но других таких наверняка нет”, “это какой-то трюк, и в жизни такого нет”. Благодаря Apple я выглядел как фокусник в глазах людей, причем трюкач с довольно странными умениями. Проще не верить, чем допустить, что самая дорогая компания планеты наплевательски относится к данным пользователей и их безопасности. Ведь в Apple постоянно говорят, что защищают данные людей и прикладывают для этого все усилия, не так ли? Почему компания делает ставку на такую рекламную кампанию, никто даже не задумывается, хотя все лежит на поверхности – в Apple огромные проблемы с качеством продуктов и тем более с их безопасностью.

Например, в прошлом году выяснилось что сервис “Sign in with Apple”, который создали в 2019 году для быстрого входа в приложения, сервисы и на сайты, имеет огромную дыру в безопасности. В Apple обещали приватность пользователям, которые поверят компании и будут использовать свой Apple ID для входа на сторонних ресурсах. Рекламировали это незамысловато: в отличие от той же Facebook, в Apple не будут собирать ваши данные и продавать их на сторону. Начинание благое, но, как всегда для Apple, оно имело темную сторону, про которую никто не говорил. Разработчики настолько “хороши”, что они позволяли любому человеку, зная чужой почтовый адрес, получать его токены с Apple ID. Например, для доступа к вашей почте на другом сервисе, что подключил “Sign in with Apple”, было достаточно знать ваш адрес. Программист из Дели, который обнаружил эту проблему, сообщил о ней в Apple в рамках программы по поиску дыр в безопасности, ему выплатили 100 000 долларов. Но это не отменяет того факта, что дырка существовала долгое время, как минимум полгода. И кто мог ей воспользоваться за это время, неясно.

В 2020 году в Apple пытались решить проблемы с безопасностью, но полагаться на свои силы не могли, так как та же iOS была слишком дырявой и уязвимости в системе находили в буквальном смысле ежедневно. Внутри Apple просто не было достаточного числа инженеров, которые могли справляться с такой нагрузкой. В компании посчитали, что будет логичным переложить поиск изъянов в безопасности на разработчиков во всем мире, и запустили программу Apple Security Bounty. Найти ее описание можно вот тут.

Выплаты за найденные дырки в безопасности – от двадцати пяти тысяч до миллиона долларов, что звучит как выгодное предложение. Для Apple это дешевле, чем содержать большой штат разработчиков, заботиться о безопасности своих устройств и платформ. Дешевая рабочая сила в лице программистов, средний или низкий уровень их знаний и внешние люди в качестве отдела тестирования. Старая схема, по которой в Apple снижают издержки, чтобы не тратиться на безопасность, она позволяет экономить огромные деньги и при этом делать вид, что все в порядке. Общеизвестно то, что любое iOS-устройство можно удаленно взломать, нужно знать только номер телефона жертвы. После этого вы получаете полноценный доступ ко всей информации на устройстве плюс можете делать с ним что угодно. Уязвимость нулевого дня существовала многие годы, но каждое сообщение о соответствующих инструментах воспринималось как сказка. Скандал вокруг софта от израильской NSO Group (Pegasus) заставил через несколько месяцев после первых громких материалов в медиа закрыть дыру в iOS. Но она существовала несколько лет и касалась последних версий iOS, которые считали наиболее защищенными и подталкивали людей к их использованию. Так следили за политиками, активистами по всему миру, зачастую убивали их, так как точно знали, где они находятся и что делают. Те самые “безопасные” iPhone превращались в следящие устройства, которые точно сообщали, где находится человек.

Удаленный взлом любого Apple iPhone и последующие убийства людей

Тотальная слежка за пользователями iPhone, получение всех данных, геопозиции. Простой способ найти жертву и убить человека.

За подобные “мелочи” иную компанию давно вынесли бы с рынка вперед ногами, но Apple – это давно не про продукты, это финансовый инструмент обогащения для инвесторов, этакая пирамида. Поэтому качество продукта здесь не слишком важно, речь идет о больших деньгах. И мало кто хочет раскачивать лодку, а тем более говорить о том, что происходит на деле с пользовательскими данными и их безопасностью. Защита от Apple – это в прямом смысле дырявое решето, и лучше всего это показывает программа Apple Security Bounty и то, насколько Apple завалили обращениями. В рамках суда между Epic Games и Apple мы узнали множество откровений сотрудников Apple, как все устроено внутри. И это нерадостная картина, которая показывает, что самая дорогая компания в мире просто наплевательски относится к безопасности и экономит на сотрудниках.

Откровения сотрудников Apple перед судом – взгляд на корпорацию изнутри

Бывшие сотрудники Apple рассказывают о компании, своей работе и схемах, что не защищают вас от обмана и мошенников. Реальный Apple.

В рамках Apple Security Bounty эта информация находит подтверждение, и достаточно взять новости за одну неделю, чтобы это наглядно продемонстрировать. Всего одна неделя и три события, которые отлично показывают, как в Apple относятся к безопасности.

Российский разработчик Денис Токарев нашел четыре разных уязвимости в iOS, написал об этом в Apple в рамках программы Security Bounty, отчеты были отправлены с период с 10 марта по 4 мая. Автоматические ответы на отправленную информацию получены. Прошло полгода с момента отправления писем, никакой обратной связи Денис не получил. Он повторно отправил письма в Apple и сообщил, что будет вынужден публично рассказать про уязвимости и дает дополнительные десять дней на реакцию со стороны Apple. В ответ? Как обычно, тишина.

Реальность и перспективы рынка IT‑профессий

Какие профессии наиболее популярны и высокооплачиваемы?

Субботний кофе №182

Налейте чашку бодрящего субботнего кофе и познакомьтесь с новостями недели. Tele2 ответил МТС, Qualcomm представила флагманский чипсет, Huawei привезла к нам детские часы, а Genesis показала новый G90.

Тест Volvo XC60. Из Швеции с любовью

Предыдущее поколение кроссовера Volvo XC60 стало самой продаваемой моделью за девять лет производства. Сможет ли преемник, представленный в 2017 году, повторить её успех.

Обзор TWS-наушников ZTE LiveBuds

Недорогие, но качественные беспроводные наушники с очень хорошим звуком!

После публикации записи в блоге реакция со стороны Apple последовала незамедлительно: мы будем разбираться в вопросе. Запись на английском языке можно найти вот здесь, а заодно десяток историй о том, как другие участники Security Bounty не получили никакого ответа от Apple.

Дырки, найденные Денисом Токаревым, позволяют получить доступ к разнообразной информации на устройстве, например, почте, которая привязана к Apple ID, включая токен, который позволяет отправлять запросы на серверы Apple от имени этого пользователя. Список контактов из приложений «Почта», «Сообщения», а также метаданные о взаимодействии с этими контактами, включая статистику и точное время. Можно проверить, какие приложения установлены на устройстве. Данные аналитики об использовании устройства, включая все аксессуары, что к нему подключались, а также медицинские данные пользователя. Это неполный список уязвимостей, которые обнаружил Денис.

Он не одинок в своих находках, таких людей много во всех странах мира, но их истории взаимодействия с Apple похожи до мелочей. Например, Боби Раух (Bobby Rauch) нашел изъян в работе метки AirTag. Найти описание его работы можно вот здесь.

Если коротко, то нужно купить эти метки, подменить в них адрес iCloud и перевести жертву на свою страницу, где человек будет вводить свой пароль от аккаунта, который будет перехвачен злоумышленником. Простая и эффективная атака, которая может сработать в реальной жизни с легкостью, а сценариев такой атаки может быть много, это не один возможный скрипт.

Информация об уязвимости в Apple поступила 20 июня, но в течение трех месяцев никакой обратной связи не поступило. С Бобби связались только 23 сентября и сообщили, что уязвимость закроют в ближайшее время, вопрос о вознаграждении тактично остался без ответа. И так происходит практически со всеми, компания Apple не выполняет взятые на себя обязательства, так как ее захлестнула волна обращений и качество продуктов вынудило бы компанию платить за дыры в их безопасности миллионы долларов еженедельно. В Apple деньги любят больше всего и отдавать их на сторону точно не хотят.

Третья история, которая понравится вам, описывает позицию страуса, занимаемую Apple. В Британии специалисты по безопасности провели исследование Apple Pay, они обнаружили, что если использовать банковскую карту Visa для оплаты поездок (Express Travel Card), то возможен сценарий атаки, который не нуждается в особых ухищрениях. Оплачивая поездку, не нужно разблокировать iPhone, вы просто прикладываете его к турникету. Атакующие собрали простое оборудование, которое эмулирует работу турникета, но оплата идет на обычный терминал, как в магазинах. В Mastercard есть проверка того, куда отправляются деньги, и такая атака невозможна. В Samsung Pay или Google Pay также реализованы дополнительные уровни защиты, поэтому подобная атака невозможна. Но в Apple Pay этого отчего-то не сделали, а Visa и Apple перекладывают вину друг на друга, считая, что каждый должен потратить деньги и исправить этот недочет. Учитывая, что это сервис Apple, все расходы, конечно же, на компании, но пока она пытается сэкономить и заставить Visa построить систему, которая будет защищать пользователей Apple Pay. Типичная Apple, экономит даже в этом случае, а не решает проблему как можно быстрее. Про эту историю можно прочитать вот здесь.

Самое смешное и забавное в том, что таких историй еженедельно появляется до десятка! В информационном потоке они растворяются, становятся незаметны, да и внимание к ним стараются не привлекать. Подобные разношерстные истории доказывают, что с безопасностью у продуктов Apple дела обстоят крайне плохо, если не сказать – катастрофически. И это уже недобрая традиция, которая длится многие годы. Об этом стоит помнить, когда вы покупаете любой продукт от Apple, так как вам придется тратить заметные усилия на то, чтобы защитить себя и свою информацию, а иногда вы просто не сможете этого сделать вовсе, так как дыры в софте слишком велики.

Меня перестала удивлять позиция поклонников Apple, отрицающих очевидные, доказанные проблемы. Их риторика не меняется год к году, когда они занимаются демагогией и пытаются опровергать факты примерно так: “А вот на Android все еще хуже, это общеизвестный факт”. Причем, что интересно, они не пытаются привести какие-либо факты, а просто защищают любимчика и отрицают даже наличие проблемы как таковой, считают ее незначительной. Такая реакция ненормальна, но именно она позволяет Apple много лет наплевательски относиться к безопасности устройств и собственных платформ. Съедят и в таком виде, а то, что кто-то пострадает, это проблемы человека, который не подумал о том, что именно он покупает и какую ответственность перед ним несет компания Apple. Подсказка – никакой ответственности в Apple за ваши данные и их защиту не несут вовсе. Так что спокойнее думать, что вы защищены и все в порядке, ведь выбрать что-то не от Apple решительно невозможно, не так ли? Ведь именно iPhone – это лучшее соотношение цена/качество, доступный продукт и далее по списку, а заодно он еще и самый защищенный от взлома, как нам талдычат не первый год. Тут нет вопроса веры, а есть только факты, которые говорят сами за себя. Верить рекламным заявлениям или реальности и тем фактам, что вы видите вокруг? Выбор всегда за вами.

Удаленный взлом любого Apple iPhone и последующие убийства людей

Тотальная слежка за пользователями iPhone, получение всех данных, геопозиции. Простой способ найти жертву и убить человека.

Источник