Финские исследователи изучили политику и настройки конфиденциальности приложений Apple на нескольких платформах и пришли к выводу, что параметры конфигурации чрезвычайно запутаны, значения опций не всегда очевидны, а документация написана сложным юридическим языком и не всегда содержит подробную информацию.

Источник изображения: Trac Vu / unsplash.com

Авторами исследования (PDF) стали Амель Бурдусен (Amel Bourdoucen) и Янне Линдквист (Janne Lindqvist) из университета Аалто (Финляндия) — они отметили, что многие научные проекты были посвящены конфиденциальности сторонних приложений для устройств Apple, но очень мало работ посвящено этой проблеме в собственном ПО компании, включая браузер Safari и голосовой помощник Siri. Исследователи поставили цель выяснить, какие объёмы данных собирают собственные приложения Apple, куда эти данные отправляются, и могут ли пользователи понять, как ориентироваться в настройках конфиденциальности на платформах компании. Предпринимаемые Apple меры по защите своей экосистемы считаются заслугой компании в области информационной безопасности — компания пользуется своей репутацией как аргументом в пользу продажи своей продукции и оружием в борьбе с Google.

Финские исследователи не оспаривают технологических достижений Apple, но утверждают, что запутанные пользовательские интерфейсы подрывают эти усилия. Так, при первоначальной настройке устройств под управлением macOS пользователь как будто может отказаться включать голосовой помощник Siri, но он продолжает собирать данные из других приложений для предоставления рекомендаций. Чтобы полностью отключить Siri, требуется найти параметры конфиденциальности в пяти различных подменю приложения «Настройки». Документация Apple по настройкам конфиденциальности далека от идеала: в ней упоминаются не все опции; не объясняется, что происходит с пользовательскими данными; не указывается, включены или отключены соответствующие настройки по умолчанию; наконец, она написана юридическим языком, и это почти гарантия, что ни один пользователь никогда этого не прочтёт.

Источник изображения: Alireza Khoddam / unsplash.com

Авторы исследования провели опрос среди пользователей Apple и поинтересовались, действительно ли те понимают, как работают параметры конфиденциальности на iOS и macOS, и что приложения делают с их данными. В опросе приняли участие всего 15 респондентов, но и его результаты показали, что ориентироваться в настройках конфиденциальности на устройствах Apple непросто. Так, 11 опрошенных оказались осведомлёнными об отслеживании данных и о том, что оно преимущественно включено по умолчанию. Но когда им рассказали, как работают параметры конфиденциальности в iOS и macOS, девятеро были удивлены объёмами сбора данных.

Один опрошенный признался, что при поиске конфиденциальной информации предпочёл бы пользоваться не Safari, а другим браузером. Некоторые споры вызвала функция «Семейный доступ» (Family Sharing), которая, например, позволяет делиться с членами семьи местоположением: семерым участникам опроса идея понравилась, но остальные выразили обеспокоенность с точки зрения конфиденциальности. Респондентов также проверили на знание настроек конфиденциальности восьми приложений по умолчанию, включая Siri, Family Sharing, Safari и iMessage — никто не смог указать, что нужно сделать в «Настройках», чтобы полностью отключить эти приложения по умолчанию. Участники исследования даже обратились за этой информацией к поиску в интернете, а не к документации Apple. Ключевой проблемой оказалось отсутствие единообразия настроек на разных устройствах, хотя на iPhone и Mac есть и iMessage, и iCloud.

По итогам исследования учёные внесли несколько предложений, предполагая, что Apple заинтересована в исправлении сложившегося положения вещей. Было установлено, что в поисках настроек конфиденциальности пользователи сначала обратились к настройкам ОС, а не каждого приложения в индивидуальном порядке. А это значит, что централизация этих опций поможет пользователям избежать разочарования, и они не будут отказываться от поиска этих настроек. Apple также рекомендовали более подробно информировать пользователей о том, что делают конкретные настройки: напротив многих из них значится лишь название без каких-либо пояснений. Нужно уменьшить концентрацию технических терминов и отказаться от сухого юридического языка, более подробно описать опции в самом меню настроек и, возможно, добавить иллюстрации с инфографикой.

В популярном приложении Apple «Быстрые команды» (Apple Shortcuts) обнаружена уязвимость CVE-2024-23204, которая может открыть злоумышленникам доступ к конфиденциальным данным на устройствах под управлением macOS и iOS без запроса разрешения у пользователя.

Приложение «Быстрые команды» для macOS и iOS предназначается для автоматизации задач: оно позволяет создавать макросы с последовательностями различных действий, включая экспорт данных в iCloud и на другие платформы. Компания Bitdefender опубликовала информацию об уязвимости CVE-2024-23204, позволяющей создавать вредоносные файлы сценариев «Быстрых команд» в обход системы безопасности Apple Transparency, Consent and Control (TCC), предназначенной, чтобы следить, что приложения в явном виде запрашивают у пользователей разрешения для доступа к определённым данным или функциям.

Добавив такой файл в библиотеку жертвы, злоумышленник получает возможность незаметно похищать конфиденциальные данные и системную информацию без запроса разрешения. Уязвимость присутствует в платформах версий до macOS Sonoma 14.3, iOS 17.3 и iPadOS 17.3, и ей присвоен рейтинг 7,5 из 10 («высокий»), поскольку её можно эксплуатировать удалённо без каких-либо привилегий. В актуальных версиях ОС Apple уже исправила ошибку, и эксперты по кибербезопасности рекомендуют обновить приложение «Быстрые команды» до последней версии.

Apple выпустила очередные обновления фирменных программных платформ: iOS 17.3.1, iPadOS 17.3.1, watchOS 10.3.1 и macOS Sonoma 14.3.1. Число нововведений в обновлениях минимальное — разработчик преимущественно исправил ранее выявленные ошибки.

Источник изображения: apple.com

Последнее крупное обновление iOS 17.3 вышло всего несколько недель назад — тогда появилась функция «Защита от краж», которая включает дополнительные меры предосторожности при совершении важных операций на устройстве. В iOS 17.3.1, iPadOS 17.3.1 исправлена ошибка, которая при наборе текста могла приводить к его неожиданному дублированию или наложению. Аналогичная ошибка исправлена с выходом macOS Sonoma‌‌ 14.3‌.1: от пользователей платформы поступали жалобы на спонтанное наложение текста — оно возникало на веб-страницах, при работе с почтой и мгновенными сообщениями. Проблема сохранялась несколько месяцев и касалась ряда версий macOS Sonoma‌‌.

Несколько ошибок Apple исправила и в watchOS 10.3.1 — разработчик не указал, каких именно; коллекция также пополнилась новым циферблатом для умных часов. Принудительно установить свежие обновления можно в соответствующих разделах в настройках устройств. В некоторых случаях следует убедиться, что аккумулятор заряжен более чем на 50 %.

Apple выпустила экстренный патч для исправления двух активно эксплуатируемых злоумышленниками уязвимостей в WebKit — движке веб-браузера Safari. Эти уязвимости служили путём для атак на все смартфоны iPhone, планшеты iPad и компьютеры на macOS.

Источник изображения: JersphWebsom / Pixabay

Компания Apple столкнулась с двумя уязвимостями в WebKit — открытом браузерном движке, который лежит в основе интернет-обозревателя Safari. Это ключевой компонент, отвечающий за отображение веб-страниц и выполнение JavaScript-кода на устройствах с операционными системами Apple, таких как iPhone, iPad и Mac.

Первая уязвимость, получившая идентификатор CVE-2023-42916, позволяла хакерам получить доступ к защищённым участкам памяти устройства. Это могло привести к несанкционированному извлечению конфиденциальной информации. Вторая уязвимость CVE-2023-42917 была связана с ошибкой, в результате которой могло происходить искажение данных в памяти. Такое искажение данных могло быть использовано для выполнения вредоносного кода, что представляет собой серьёзную угрозу для безопасности устройств.

О недоработках WebKit стало известно благодаря исследователю в сфере кибербезопасности Клеману Лесину (Clément Lecigne) из Google Threat Analysis Group. Кроме того, Лесин недавно обнаружил аналогичную уязвимость в браузере Chrome, что также потребовало выпуска немедленного патча для её устранения.

Предполагается, что хакеры эксплуатировали уязвимости «яблочных» устройств, отправляя жертвам заражённые веб-страницы. Это могло происходить через фишинговые сообщения или поддельные сайты, что подчёркивает необходимость осторожности при работе с непроверенными источниками.

В ответ на угрозу Apple выпустила обновления безопасности для iOS 17.1.2, iPadOS 17.1.2 и macOS Sonoma 14.1.2, а также для браузера Safari.

В последнем обновлении macOS Sonoma 14.1 компания Apple внедрила свежий системный сервис — Liquiddetectiond, который анализирует порты USB-C на Mac на предмет попадания жидкости. Эта мера призвана минимизировать случаи недобросовестных гарантийных обращений, связанных с поломкой устройств Apple.

Источник изображения: Neypomuk-Studios / Pixabay

Liquiddetectiond — это не просто датчик, а сложная программа анализа, использующая алгоритмы для определения типа и степени воздействия жидкости на электронные компоненты порта USB-C. Это позволяет не только фиксировать факт попадания жидкости, но и оценивать вероятность возникновения коррозии и других долгосрочных повреждений. До сих пор подобное обнаружение было затруднительно, что открывало путь для злоупотреблений в рамках гарантийного обслуживания.

Официальная гарантия от Apple не покрывает ущерб от воды, и до последнего времени сотрудникам компании было сложно определить, был ли Mac повреждён именно по этой причине. Системный сервис Liquiddetectiond, судя по названию, способен фиксировать факты контакта с жидкостью. Схожая функция уже давно используется в устройствах iPhone и iPad, где она предупреждает пользователей о необходимости отключить устройство от зарядки для предотвращения дальнейших повреждений. В случае с Mac функция не информирует пользователя, а собирает данные для их последующего анализа специалистами Apple.

Это нововведение станет дополнением к уже существующим методам диагностики ущерба от жидкости. В устройствах Mac компания Apple традиционно использует индикаторы контакта с жидкостью — LCI (Liquid Contact Indicators). Это небольшие бумажные элементы, обработанные специальным составом, который реагирует изменением цвета при попадании влаги. Обычно они скрыты внутри корпуса и располагаются в таких местах, где вероятность контакта с жидкостью наиболее высока.

При осмотре техники сервисными специалистами изменение цвета LCI служит надёжным индикатором того, что устройство подвергалось воздействию жидкости, что является основанием для отказа в гарантийном ремонте. Новая система Liquiddetectiond предназначена для того, чтобы дополнить эти индикаторы, давая более детальную информацию о характере и обстоятельствах контакта с жидкостью, что позволит Apple более точно определять случаи недобросовестных гарантийных обращений.

Пока неясно, будет ли Liquiddetectiond работать только на новейших моделях MacBook Pro с чипсетом M3 или станет доступен на всех «яблочных» устройствах, поддерживающих macOS Sonoma.

Ранее на этой неделе Apple анонсировала мероприятие Scary Fast, которое пройдёт в ночь с 30 на 31 октября. По данным ресурса MacRumors, одна из основных тем этого мероприятия может быть связана с играми на Mac.

Источник изображения: macrumors.com

В подтверждение этого приводится список того, что сделала Apple в игровом направлении за последнее время. Прежде всего отмечается, что фирменные процессоры Apple имеют схожую архитектуру. Как и чип A17 Pro в iPhone 15 Pro, будущие процессоры M3 для компьютеров Mac, скорее всего, будут поддерживать технологию аппаратной трассировки лучей для повышения качества рендеринга графики. Ожидается, что чипы Apple M3 будут производиться по техпроцессу 3 нм тайваньской компанией TSMC. Они обеспечат более высокую производительность и повышенную энергоэффективность по сравнению с процессорами M2. Использование более производительного чипа откроет путь к запуску большего количества ААА-игр на компьютерах Mac.

В недавнем интервью игровому изданию IGN вице-президент Apple Тим Миллет (Tim Millet) намекнул на выпуск новых ААА-игр на Mac. Когда его спросили, будут ли анонсированные для iPhone 15 Pro игры совместимы с компьютерами Mac, он ответил, что «разработчики будут работать с нами, чтобы добиться этого». В число анонсированных игр, помимо прочего, вошли ремейк Resident Evil 4, режиссёрская версия Death Stranding и Assassin’s Creed Mirage.

Кроме того, японский разработчик и издатель видеоигр Capcom недавно объявил, что игра Resident Evil Village станет доступна на iPhone 15 Pro и iPad с чипом M1 и выше, начиная с 30 октября, т.е. в тот же день, когда состоится мероприятие Apple. Вполне возможно, что это лишь совпадение, но также не исключено, что на мероприятии Apple будут озвучены какие-то новости, связанные с играми для Mac. Также не исключено, что Apple объявит о партнёрстве с Capcom, но эта информация не имеет подтверждения из официальных источников.

Что касается других усилий Apple, направленных на развитие игрового направления на Mac, то стоит отметить появление игрового режима в macOS Sonoma. Активация этого режима обеспечивает более плавный игровой процесс и стабильную кадровую частоту, а также снижает задержки при использовании беспроводных наушников AirPods и игровых контроллеров. Кроме того, на выставке WWDC в июне этого года Apple представила новый набор инструментов для разработчиков, который упрощает процесс переноса игр для Windows на Mac.

Группа исследователей в сфере информационной безопасности обнаружила уязвимость в продуктах Apple, эксплуатируя которую злоумышленники могут похищать конфиденциальные данные из браузера Safari. Уязвимость, получившая название iLeakage, затрагивает устройства на базе iOS и macOS, оснащённые фирменными процессорами Apple A- и M-серий.

Источник изображения: Apple

Атака с использованием уязвимости iLeakage основана на функции спекулятивного выполнения команд, которая позволяет процессору выполнять предварительную выборку инструкций для сокращения времени загрузки данных. В процессе работы эта функция может обрабатывать конфиденциальные данные, к которым могут получить доступ злоумышленники, проведя атаку по сторонним каналам.

Для эксплуатации уязвимости iLeakage исследователи создали вредоносный веб-сайт. Когда владелец уязвимого устройства посещает этот ресурс с помощью API JavaScript скрытно открывается другой сайт, на котором отображаются данные, выводимые пользователю в основном окне. За счёт этого злоумышленники получают возможность доступа к любой конфиденциальной информации, которую через браузер Safari вводит жертва атаки на своём Mac или iPhone.

Исследователи опубликовали несколько видео, в которых продемонстрировали, как уязвимость iLeakage может быть использована для кражи данных. В частности, с помощью этой уязвимости они сумели получить доступ к содержимому почтового ящика Gmail жертвы, а также восстановили историю просмотров на YouTube на целевом устройстве и похитили данные для авторизации в Instagram✴, хранившиеся в Safari и автоматически подставлявшиеся браузером в соответствующие поля при авторизации.

Источник изображения: pcmag.com

Отмечается, что уязвимость iLeakage затрагивает не только Safari, но и другие браузеры для iOS. Это связано с тем, что Apple требует от разработчиков сторонних браузеров использования движка WebKit в своих продуктах. Хорошая новость в том, что для реализации атаки с использованием уязвимости iLeakage требуется высокий уровень технических знаний, что, возможно, является основной причиной невысокой популярности атак через функцию спекулятивного выполнение команд в сообществе киберпреступников.

Исследователи уведомили Apple о проблеме в сентябре 2022 года. Однако с тех пор компания разработала только «средство устранения уязвимости», которое необходимо активировать вручную. На этом фоне Apple заявила о намерении выпустить патч для исправления этой уязвимости. Согласно имеющимся данным, он будет включён в следующий пакет обновлений для программного обеспечения.

На этой неделе Valve выпустила Counter-Strike 2 — долгожданного преемника CS:GO. Но с релизом новой игры владельцы компьютеров Apple Mac оказались в затруднительном положении. Обновление лишило их доступа к старой версии игры, а новая запускаться отказалась.

Источник изображения: steampowered.com

Valve не стала выпускать CS2 в качестве отдельной игры, а просто опубликовала обновление для CS:GO весом 26 Гбайт, которое превратило старую игру в новую. В Steam игра просто была переименована. Вместе с тем это лишило пользователей, включая владельцев компьютеров Apple, возможности запускать старую игру. И быстро выяснилось, что на macOS новую «контру» запустить не получится: в пакете оказался только файл EXE для Windows. Единственным выходом оказалась установка бета-версии CS:GO.

Valve безо всяких анонсов удалила со страницы теперь уже Counter-Strike 2 в Steam значок macOS, а платформа Apple упоминается только на странице часто задаваемых вопросов. Англоязычная версия явно указывает, что «CS2 в настоящее время недоступна для Mac», а на русскоязычной странице говорится об ограниченном тесте игры, который доступен только на ПК под Windows.

CS:GO была одной из наиболее популярных игр для macOS, у которой сформировалось довольно большое сообщество, и действия Valve вызвали у него недоумение. По одной из версий, работа над Counter-Strike 2 под macOS всё-таки ведётся, но игра будет запускаться через эмулятор Rosetta 2, то есть она предназначена для x86-совместимых чипов, а не Arm-процессоров Apple. Это вызывает настороженность касательно возможного уровня производительности.

На проходившей в июне этого года конференции WWDC 2023 компания Apple анонсировала операционную систему macOS 14 Sonoma, которая получила ряд новых функций, таких как виджеты рабочего стола, экран блокировки в стиле iOS и игровой режим. Теперь же программная платформа стала доступна для установки на все совместимые устройства.

Источник изображения: Apple

Одним из главных нововведений macOS Sonoma стало появление возможности размещения виджетов на рабочем столе. Ранее пользователи могли добавлять их на боковую панель. Сами же виджеты стали интерактивными, благодаря чему они могут использоваться для взаимодействия с соответствующими приложениями.

В дополнение к этому разработчики добавили новые функции видеоконференций, такие как Presenter Overlay. С её помощью пользователь может показывать себя поверх демонстрируемого контента, например, презентации или графиков. Экран блокировки теперь выглядит аналогично тому, что можно увидеть на iPhone или iPad, только с полем для ввода пароля вместо цифровой клавиатуры. В браузер Safari добавлен улучшенный режим приватного просмотра, а также профили, предназначенные для разделения просматриваемого контента по тематике.

Ещё разработчики реализовали в macOS Sonoma игровой режим, активация которого обеспечит более плавный игровой процесс и стабильную кадровую частоту. В игровом режиме также снижается задержка при передаче звука на AirPods и уменьшается задержка при использовании игровых контроллеров.

MacOS Sonoma получила и другие менее заметные улучшения и исправления, направленные на повышение стабильности работы платформы. Уже сейчас её могут скачать и установить на совместимые компьютеры Mac все желающие. Размер обновления составляет около 7,7 Гбайт, поэтому перед загрузкой следует убедиться в наличии достаточного объёма дискового пространства.

Apple объявила, что macOS Sonoma, новая версия операционной системы компании для компьютеров Mac, станет доступна пользователям совместимых устройств 26 сентября. Программная платформа получила несколько заметных нововведений, включая интерактивные виджеты рабочего стола, заставки в стиле Apple TV, обновлённые приложения «Сообщения» и Safari, игровой режим и др.

Источник изображений: MacRumors

Новые интерактивные виджеты теперь можно размещать прямо на рабочем столе. Они органично впишутся в рабочее пространство и не будут отвлекать от выполнения поставленных задач, а благодаря функции Continuity пользователи смогут использовать виджеты с iPhone на своём компьютере Mac.

В macOS Sonoma также реализованы расширенные функции видеоконференций, в том числе функция Presenter Overlay, которая позволяет пользователю показывать себя поверх демонстрируемого контента. Реакции помогут участникам видеоконференций в режиме онлайн показывать своё отношение к тому или иному вопросу, а процесс совместного использования экрана стал более удобным за счёт внесения ряда изменений для упрощения взаимодействия.

Фирменный браузер Safari также получит ряд новых функций с выходом macOS Sonoma. Наиболее заметным нововведением стал улучшенный режим приватного просмотра, обеспечивающий надёжную защиту от трекеров и сторонних пользователей, которые могут иметь доступ к компьютеру. Профили в Safari помогут разделить просматриваемый контент по тематике, например, можно задействовать один профиль для работы, а второй — для личных целей.

Когда устройство с macOS Sonoma не используется продолжительное время и переходит в режим ожидания, начинается демонстрация новых заставок с видами природы из разных мест мира. Замедленные видео с пейзажами разных мест автоматически сменяют друг друга, подобно тому, как это происходит в tvOS.

Для геймеров в macOS Sonoma реализован новый игровой режим, который обеспечит оптимизированный игровой процесс с более плавной и стабильной кадровой частотой. Он значительно снижает задержку звука при использовании AirPods и уменьшает задержку при использовании игровых контроллеров, а также поддерживается в любой игре на Mac.

Эксперты по кибербезопасности из компании Guardz обнаружили выставленную на продажу программу класса Hidden VNC, позволяющую оператору получать полный доступ к компьютерам под управлением Apple macOS — она предназначается для кражи личной информации и учётных данных. В качестве гарантии работоспособности программы хакеры внесли на теневой площадке залог в $100 тыс.

Источник изображения: Markus Spiske / pixabay.com

Система удалённого доступа VNC (Virtual Network Computer) используется службами техподдержки — она позволяет сотрудникам сервисов контролировать машины пользователей, но пользователи должны предоставить разрешение на работу программы, и они обычно видят, что делает специалист. Есть и скрытая разновидность этой системы HVNC (Hidden VNC), которая предоставляет удалённому оператору те же возможности, но не требует разрешения и не позволяет владельцу машины видеть манипуляций с ней.

Выставленный на теневом ресурсе инструмент продаётся с пожизненной «лицензией» за $60 тыс. Он включает в себя обратный шелл (Reverse Shell) и удалённый файловый менеджер, а протестирован инструмент был на машинах под управлением macOS от 10 до 13.2. В качестве гарантии работоспособности разработчики вредоноса разместили на эскроу-счёте администрации хакерского ресурса депозит в размере $100 тыс.

В качестве меры защиты владельцам компьютеров Apple рекомендовано регулярно обновлять ПО: вредонос работает на машинах под управлением macOS версии до Ventura 13.2, тогда как текущая версия платформы — 13.4.1. Если возможность установить актуальную версию macOS отсутствует, рекомендуется не устанавливать программ из неизвестных источников, ограничившись магазином Mac App Store, не открывать вложений из сомнительных писем электронной почты и не переходить по сомнительным ссылкам.

Выявив критическую уязвимость CVE-2023-37450 в движке WebKit, на котором, в частности, построен браузер Safari, компания Apple выпустила экстренные обновления для iOS 16.5.1 и macOS Ventura 13.4.1, а также для iPad. Предполагалось, что они устранят уязвимость, но патчи вызвали дополнительные проблемы в работе Safari.

В частности, перестали корректно работать популярные веб-ресурсы, включая сайты Facebook✴, Instagram✴, WhatsApp, Zoom и др.

После этого Apple порекомендовала откатить операционные системы к состоянию до установки патчей. Теперь компания предприняла вторую попытку, предложив новые RSR-обновления, чтобы устранить уязвимость, по имеющимся данным — уже активно использующуюся злоумышленниками.

Т.н. «быстрые ответы на угрозы» (RSR) позволяют Apple оперативно устранять уязвимости в системе безопасности без взаимодействия с пользователем и даже необходимости перезагружать устройство, без учёта расписания плановых обновлений.

Когда стало известно о проблеме, влиявшей на работу браузера, появились и инструкции по восстановлению функциональности. По данным Apple, новая версия RSR-обновлений специально разработана для устранения уязвимости без влияния на загрузку сайтов.

Компания Apple выпустила вчера экстренные обновления для своих операционных систем iOS, iPadOS и macOS, устраняющие уязвимости в браузерном движке WebKit. Однако, похоже, компания поспешила с релизом патчей, так как их установка нарушает работу веб-обозревателя Safari.

Источник изображения: Alexander Andrews/unsplash.com

На площадке MacRumors пользователи сообщают, что после установки обновлений сайты Facebook✴, Instagram✴, WhatsApp, Zoom и других популярных ресурсов выдают предупреждение о том, что они не поддерживаются браузером Safari.

Напомним, что выпущенные обновления для iOS 16.5.1, iPadOS 16.5.1 и ‌macOS Ventura‌ 13.4.1 устраняли уязвимость нулевого дня CVE-2023-37450 в движке WebKit. По некоторым данным, она уже используется злоумышленниками.

Ожидается, что Apple в скором времени выпустит исправленный пакет обновлений, а пока владельцам iPhone, iPad и Mac рекомендуется откатить установленные ранее патчи.

Тем, кто установил обновления на iPhone, рекомендуется зайти в «Настройки → Основные → Об этом устройстве», нажать на версию iOS и удалить обновление безопасности. На компьютерах Mac для отката можно воспользоваться подробной инструкцией на MacRumors.

Компания Apple выпустила серию т. н. «Быстрых ответов на угрозы» (Rapid Security Response, RSR) — обновлений для своих операционных систем, закрывающих уязвимость нулевого дня CVE-2023-37450. Проблема коснулась iPhone, iPad и Mac и позволяет злоумышленникам обходить защиту ПО этих устройств. По имеющимся данным, компании известно о том, что она активно используется злоумышленниками.

Источник изображения: Ales Nesetril/unsplash.com

Недоработки обнаружены в браузерном движке WebKit. Уязвимость позволяет злоумышленникам, тем или иным путём заманившим пользователей на специальные веб-страницы, выполнять на устройствах произвольный код, способный нарушить конфиденциальность и безопасность пользователей.

«Быстрые ответы на угрозы» появились относительно недавно и обеспечивают обновления безопасности ОС в экстренных случаях, когда проблема требует быстрого решения. В Apple подчеркнули, что обновление получат только новейшие версии программных платформ, начиная с iOS 16.4.1, iPadOS 16.4.1 и macOS 13.3.1

Для получения обновления на iPhone или iPad следует выбрать «Настройки → Основные → Обновление ПО → Автообновление», после чего активировать «Ответы на угрозы и системные файлы». Для Mac необходимо выбрать «Системные настройки → Основные → Обновление ПО». Рядом с пунктом «Автообновление» необходимо нажать «Показать подробности» и убедиться, что функция «Устанавливать ответы на угрозы и системные файлы» активирована.

Подробности о механизме «Быстрых ответов на угрозы» (RSR) можно узнать на сайте компании.

Начиная с iOS 17, iPadOS 17 и macOS Sonoma пользователям устройств Apple с Apple ID будут автоматически присваиваться ключи доступа (Passkey). Это позволит входить в Apple ID без пароля, используя вместо этого биометрическую аутентификацию через Face ID или Touch ID. Функция уже работает на сайтах iCloud.com и appleid.apple.com для тех, у кого на устройствах установлена последняя бета-версия для разработчиков указанных ОС.

Источник изображения: Apple

Напомним, что ключ доступа — это криптографическая структура, используемая вместо паролей. Она состоит из двух ключей, что, по заверениям компании, намного безопаснее паролей. Один ключ является публичным; он зарегистрирован в используемом приложении или веб-сайте. Второй ключ — частный. Он используется только на вашем устройстве. Благодаря мощным криптографическим методам защиты ключ доступа обеспечивает безопасную передачу данных между вашим устройством и веб-сайтом/приложением. Кроме того, после создания ключа он синхронизируется между устройствами. В текущей реализации для того, чтобы синхронизировать данные необходимо авторизироваться на всех устройствах под общим Apple ID.

Помимо сервисов Apple эта функция также обеспечит беспарольный вход на сайтах, поддерживающих функцию «Войти с Apple». На сайтах, поддерживающих вход по ключам доступа — таких как PayPal, Shopify и Kayak — пользователи смогут легко зарегистрироваться, отсканировав QR-код с помощью iPhone.

Стоит отметить, что Google уже поддерживает беспарольный вход на основе ключей доступа. В декабре прошлого года компания развернула поддержку этой функции в Chrome на Windows, macOS и Android.