Apple Mac можно взломать удаленно в процессе настройки устройства

Олег Иванов 10 Августа 2018 - 17:17

Домашние пользователи

...

Исследователи в области кибербезопасности продемонстрировали эксплойт, который позволит злоумышленникам скомпрометировать компьютеры Mac от Apple при первом подключении к беспроводной сети Wi-Fi.

О проблеме сообщили Джесси Эндал, главный сотрудник службы безопасности в Fleetsmith, и Макс Беленджер из Dropbox.

Согласно докладу, представленному экспертами на конференции Black Hat, ошибки находятся в некоторых инструментах настройки этих десктопных компьютеров.

Специалисты обратили внимание на два инструмента — Device Enrolment Program и Mobile Device Management, они используются для того, чтобы сотрудники предприятия смогли пройти процесс настройки устройства для организации. Их можно использовать для работы из дома.

Фактически эти инструменты позволяют немедленно сконфигурировать устройства для подключения к экосистеме компании после первого соединения с сетью Wi-Fi.

«Мы обнаружили ошибку, которая позволяет скомпрометировать устройство и установить на него вредоносную программу. Все это можно сделать до того, как пользователь первый раз войдет в систему», — объясняет Джесси Эндал.

«Таким образом, еще до того, как пользователь впервые увидит рабочий стол, его компьютер уже будет скомпрометирован».

Совершить успешную атаку злоумышленникам поможет пресловутая техника «Человек посередине» (man-in-the-middle, атака посредника). С ее помощью атакующий может загрузить вредоносные файлы.

Основная брешь кроется в отсутствии сертификата при использовании Mobile Device Management для определения того, какие приложения должны быть установлены. То есть загрузка приложений никак не верифицируется.

Несмотря на то, что эксплойт для этого недостатка уже существует, киберпреступникам понадобится доступ к определенному набору инструментов и привилегий, чтобы атака действительно сработала. Такие целевые атаки будут интересны, например, государственным хакерам, так как позволяют проникнуть в сеть предприятия и раздобыть всю внутреннюю информацию.

Apple уже устранила эту уязвимость с выпуском macOS High Sierra 10.13.6 в июле, но эксперты говорят, что это не до конца решает данную проблему. Не получившие обновления устройства все еще уязвимы для атак.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Яков Шпунт 30 Декабря 2025 - 10:02

Мошенничество Домашние пользователи

Телефонные мошенники начали применять новую многоступенчатую схему

Злоумышленники начали использовать новую трёхэтапную схему обмана, в которой поочерёдно представляются полицейским и опасным преступником. Схема уже привела к реальным жертвам: с её помощью мошенники похитили у пожилой жительницы Москвы более 20 млн рублей.

О новом способе мошенничества сообщил ТАСС со ссылкой на пресс-службу прокуратуры Москвы. Как уточнили в ведомстве, в случае с пенсионеркой аферисты применили трёхступенчатую модель обмана.

На первом этапе женщине позвонил человек, представившийся сотрудником полиции. Он сообщил об убийстве другой пожилой женщины, якобы проживавшей по соседству, и оставил номер телефона для связи — «на случай подозрительных звонков».

В отличие от традиционных схем, используемых с 2021 года, где лжеправоохранители подключаются на более поздних этапах, здесь «полицейский» появляется уже в самом начале, чтобы заранее завоевать доверие жертвы.

На следующий день пенсионерке позвонил уже якобы сам преступник. В грубой форме он потребовал передать 500 тыс. рублей. Женщина, следуя ранее полученным инструкциям, сразу же перезвонила по «служебному» номеру и рассказала о произошедшем.

На завершающем этапе лжеполицейский предложил пенсионерке «помочь следствию» и принять участие в операции по поимке преступника — якобы для его задержания при передаче денег.

«Пострадавшая начала выполнять все указания звонившего и передала 500 тыс. рублей курьеру. Затем аферисты сообщили пенсионерке, что операция пошла не по плану, а её паспортные данные стали известны третьим лицам, которые пытаются похитить сбережения. Испугавшись, женщина продолжила общение с мошенниками, в том числе по видеосвязи. По их указаниям она несколько раз снимала со счетов семейные накопления и передавала их курьерам, полагая, что это инкассаторы. Общий ущерб превысил 20 млн рублей», — рассказали в прокуратуре.

В надзорном ведомстве напомнили, что никакие следственные действия и оперативно-разыскные мероприятия по телефону не проводятся, а сотрудники правоохранительных органов не привлекают граждан к содействию дистанционно. Граждан призвали не выполнять указания неизвестных лиц, кем бы они ни представлялись.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »