Lockdown Mode будет защищать от шпионов в iOS, iPadOS и macOS

Lockdown Mode будет защищать от шпионов в iOS, iPadOS и macOS

Осенью этого года Apple готовится выпустить новые релизы своих ОС — iOS 16, iPadOS 16 и macOS Ventura. Среди нововведений — новый режим защищённости Lockdown. После публикации бета-версий новых ОС с новым видом защиты от Apple теперь могут познакомиться пользователи.

 

 

 

 

 

 

  1. Введение
  2. Lockdown Mode и безопасность
  3. Lockdown Mode разрабатывался на примере защиты от Pegasus
  4. Lockdown Mode для пользователей
  5. Подробно о Lockdown Mode
  6. Первые мнения пользователей о Lockdown Mode
  7. Атаки Zero-Click
  8. Программа Bounty
  9. Мнение отрасли
  10. Выводы

Введение

Появление в публичном доступе бета-версии мобильной ОС iOS 16, выпуск финальной редакции которой намечен на осень, дал пользователям возможность познакомиться с новым безопасным режимом работы ОС, получившим название Lockdown Mode. 

Официальный анонс Apple указывает на то, что режим позволит защититься от любых вредоносных программ класса Spyware, а также от целевых кибератак. Верится в это с трудом, что отмечают и первые пользователи. В то же время интерес к ознакомлению с официальным предложением по наращиванию безопасности платформ Apple проявляют многие.

Apple старается подчеркнуть, что новый инструмент является вспомогательным и предназначен в первую очередь для публичных, высокооплачиваемых лиц и государственных служащих, которые могут сталкиваться с направленными персонально против них кибератаками. Отчасти это — реакция вендора на запрос рынка в поддержку мнения, что iOS является на сегодняшний день самой надёжной мобильной платформой в мире. Однако многие видят в этом только пиар.

Пока нет однозначного мнения относительно новой возможности, тем более что она представлена только в бета-версии ОС. Но само решение Apple наращивать безопасность — это уже интересно.

Lockdown Mode и безопасность

Предложение нового режима Lockdown отражает возросший запрос пользователей на собственную безопасность в сети. Подвергать этот интерес сомнению бесполезно: он налицо. Многие пользователи, в том числе в России, уже столкнулись с действительно серьёзными угрозами, вплоть до «окирпичивания» смартфонов. 

Впрочем, пока признаков того, что Apple может намеренно снижать безопасность для части своих клиентов, нет. В то же время российские компании отмечают резкий рост числа кибератак от неорганизованных хактивистов, попавших под влияние настроений, подразумевающих участие в кибератаках против пользователей «неприятеля».

Новый режим Lockdown предлагает набор функций, которые априори повышают уровень безопасности смартфона. Если оценивать кратко, то Apple фактически ввела комплекс мер для контроля возможных утечек данных, которые неизбежно возникали ранее из-за сложностей персонализации доступа на мобильных устройствах. 

Например, «попав» в адресную книгу, просто позвонив на телефонный номер пользователя, злоумышленник получал права на размещённые в смартфоне информационные ресурсы наравне с доверенными друзьями и знакомыми владельца. Не оценив угрозы, пользователь мог в какой-то момент предоставить доступ к данным всем своим друзьям в списке контактов, не отследив, что там могли появиться посторонние. Теперь Apple вводит контроль за тем, как внешние пользователи попадают в список контактов, и обеспечивает возможность разделять роли по разным группам.

По оценкам Apple, Lockdown Mode способен реализовать «повышенную защиту» для тех, кто «считает, что может оказаться целью для избирательных кибератак». Эксперты уже отнесли в число заинтересованных лиц журналистов, политиков, крупных бизнесменов, публичных людей.

 

Рисунок 1. Интерфейс включения Lockdown Mode

Интерфейс включения Lockdown Mode

 

Lockdown Mode разрабатывался на примере защиты от Pegasus

Новый режим Lockdown должен уметь противостоять кибератакам направленного действия, в ходе которых применяются современные технологии проникновения, с которыми пользователи Apple сталкивались в прошлом. В качестве базовых хакерских инструментов, против которых выстраивалась эта защита, называют Pegasus, DevilsTongue и Hermit

Apple высоко оценивает качество этих хакерских разработок и связывает это с тем, что они велись при спонсорской поддержке «со стороны государств». Правда, Apple не называет конкретных стран-спонсоров. Впрочем, об истории израильской хакерской группы NSO Group — разработчика вируса Pegasus — ходят разные слухи. 

История с Pegasus показательна. Главные проблемы вокруг неё возникли четыре года назад. В 2018 году её исходный код с подробной инструкцией по применению был выложен в публичный доступ через даркнет. Алексей Новиков, замдиректора центра компетенций по экспертным сервисам Positive Technologies, заявил тогда, что для борьбы против этого вируса, в частности, в России не было даже формальных возможностей. «Не было регулятора, который мог бы предъявить требования по удалению источника вируса с сайтов, где были обнаружены модули Pegasus. ФинЦЕРТ — структура ЦБ — действовал лишь в рамках своих полномочий, ФСБ России и ГосСОПКА — по объектам критической информационной инфраструктуры. Единого же контролёра не было».

Тогда среди выложенных в публичный доступ файлов нашли список контактов ИБ-специалистов из ряда крупных российских банков. Это заставило исследователей предположить, что ожидается серия хищений в первую очередь у кредитных организаций. 

Масштабное заражение пользователей вирусом Buhtrap осуществлялось при посещении профильных сайтов для бухгалтеров и юристов. После заражения компьютер, будучи частью корпоративной сети, открывал вирусу возможность для поиска доступа к системе ДБО (дистанционного банковского обслуживания). Далее он управлял проводкой с выводом денежных средств. 

Group-IB оценила тогда ежедневные потери российских компаний от вируса Buhtrap в приблизительно 3,8 млн рублей. В своём годовом отчёте Group-IB сообщила, что группировка Buhtrap (Ratopak), близкая к NSO Group, за 2018 год сумела похитить у российских банков около 1,8 млрд рублей. 

Lockdown Mode для пользователей

Apple всегда уделяет большое внимание удобству использования своих приложений. С точки зрения пользователя переход в новый защищённый режим прост: достаточно вызвать функцию Lockdown Mode. После этого потребуется перезагрузить смартфон.

Такая простота интерфейса автоматически решает много теневых задач. Компрометация смартфона программным путём становится невозможной, потому что для снятия установленных ограничений потребуется перезагрузить его. Сделать это можно только вручную.

 

Рисунок 2. Интерфейс Lockdown Mode

Интерфейс Lockdown Mode

 

Подробно о Lockdown Mode

В настоящее время известно, что режим Lockdown появится в следующих ОС: iOS 16, iPadOS 16 и macOS Ventura. 

После его включения произойдут следующие изменения: 

  • Сервис сообщений: ОС будет блокировать получение любых дополнительных файлов, приложенных к сообщениям, кроме изображений. Будет отключена возможность получения предварительного просмотра по размещённым ссылкам.
  • Совместно используемые фотоальбомы (Shared Albums): обычно эту функцию используют члены семьи или близкие друзья. Она позволяет любому участнику группы пометить свою локальную папку с фотографиями как общую. После этого все участники группы смогут видеть её содержимое, будто папка находится во внутренней памяти смартфона. Переход в режим Lockdown ведёт к отключению опции Shared Albums.
  • Работа браузера: вводятся ограничения на использование некоторых программных технологий для просмотра веб-страниц. Например, отключается механизм динамической JIT-компиляции (Just-in-Time), благодаря которому обеспечивается значительный прирост производительности при просмотре веб-сайтов. Эффект достигается за счёт перевода байт-кода подключаемых через JavaScript модулей в машинный код. В режиме Lockdown пользователь может отключить этот запрет, но только избирательно для тех сайтов, в достоверности и надёжности контента которых он уверен.
  • Службы Apple: некоторые привычные для пользователя службы, например сервис безопасных видеозвонков FaceTime, отключаются в режиме Lockdown. Чтобы воспользоваться ими, пользователю придётся инициализировать соответствующий сервис (например, совершать видеозвонки) со своего смартфона.
  • Запрет на подключение по кабелю. В режиме Lockdown становится недоступным подключение смартфона или планшета через кабель к компьютеру или вспомогательному устройству, такому как внешний модем. Запрет объясняется тем, что при физическом соединении происходит отключение дополнительных проверок безопасности. Теперь обойти систему контроля становится невозможно.
  • Отключаются сторонние средства управления политиками. При включённом режиме Lockdown пользователь единолично контролирует всё, что делается через его смартфон.

Первые мнения пользователей о Lockdown Mode

Хотя режим Lockdown доступен для ознакомления всего несколько дней, в Сети уже появились первые впечатления от пользователей. 

Обычно первыми высказываются те, кто «не нашёл что искал». Так, пользователи уже высказали сожаление, что Apple «снова забыла» добавить Kill Mode. Подразумевается, что при вызове этого «забытого» режима можно было бы одномоментно стереть всю информацию со смартфона без возможности её восстановления. Такая потребность возникает, когда пользователя заставляют принудительно ввести пароль и разблокировать доступ. 

Пользователям также не понравилось, что Apple максимально упростила интерфейс для режима Lockdown. Сейчас можно отключить сразу все функции, но нельзя сделать это выборочно. Пользователи предлагают ввести раздельные ограничения: например, на веб-просмотр без отключения FaceTime. Но Apple вряд ли пойдёт на это: контроль безопасности требует комплексного, а не выборочного решения.

Самая интересная, на наш взгляд, реплика со стороны пользователей имела больше «философский» смысл. Пользователь отметил: включение нового режима безопасности подразумевает, что у него возникли подозрения, будто со смартфоном происходит что-то неладное. В то же время известно, что обычно подозрения возникают тогда, когда заражение уже произошло. Защита должна работать постоянно, а не «по свистку», считает пользователь.

Много оценок также звучит по поводу того, что новый режим предназначен исключительно для «безопасности высокопоставленных пользователей». В то же время функция доступна во всех моделях, т. е. воспользоваться ею сможет каждый. Кто захочет этого, ведь вводимые ограничения сильно снижают удобство работы с имеющимися функциями? Неудобство всегда порождает отказ и не побуждает к повышенной осторожности, считают пользователи.

Атаки Zero-Click

Наиболее общее мнение выразил анонимный исследователь из проекта Google Project Zero. Он заявил, что режим Lockdown рассматривается сейчас как защита против атак Zero-Сlick (или Zero-Touch). Удалённые атаки этого типа отличаются тем, что для их осуществления не требуется дополнительных действий со стороны пользователя. Атака производится, когда жертва попадает в «радиус действия» атакующего. По мнению исследователя, против такого «оружия» в настоящее время нет защиты. 

Убедиться в справедливости этой ремарки на примере решения Lockdown Mode ещё только предстоит.

Программа Bounty

Apple открывает бонусную программу Security Bounty. Она приглашает исследователей к поиску слабых мест в Lockdown Mode. Максимальная сумма вознаграждения — 2 млн долларов.

Apple также планирует выделение грантов для организаций в размере 10 млн долларов на исследовательские проекты, связанные с изучением новых технологий для реализации узконаправленных кибератак, в том числе с применением эксплойтов. Тем самым Apple действует в упреждающем режиме. Она планирует искать новые технологии защиты против хакерских методик, чтобы в будущем наращивать свою новую функцию Lockdown Mode.

Мнение отрасли

Что касается других вендоров смартфонов и их отношения к Lockdown Mode от Apple, то пока нет ясности, работает ли над аналогичной функцией Samsung. Известно, что Samsung «[…] собирается анонсировать новые технологии безопасности в рамках отраслевой ассоциации FIDO Alliance, которая разрабатывает стандарты аутентификации». В настоящее время Samsung ограничивается применением нескольких уровней защиты мобильного устройства, которые включают в себя набор функций безопасности Samsung Knox и предоставление защищённого внутреннего хранилища Secure Folder.

Выводы

Появление новой функции Lockdown Mode отражает факт, что Apple приступила к сквозному развитию своей системы безопасности для мобильных и настольных устройств. По сути, осенью появится первая версия новой функции. Но Apple параллельно готова изучать технологии проникновения, чтобы не останавливаться на достигнутом и развивать новую функцию в будущем.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru