Apple устранила баг, приводящий к выполнению кода на iPhone и iPad

Apple устранила баг, приводящий к выполнению кода на iPhone и iPad

Apple устранила баг, приводящий к выполнению кода на iPhone и iPad

На этой неделе Apple выпустила крупные обновления операционных систем iOS и iPadOS. Внимание большинства пользователей привлекли новые функции: картинка в картинке для iPhone, библиотека приложений, обновлённые виджеты и прочее. Однако купертиновцы также устранили уязвимости, среди которых была особа опасная — приводящая к выполнению кода на устройствах iPhone, iPad и iPod.

Информацию о проблемах безопасности опубликовали сразу же после выхода мажорных версий операционных систем. В общей сложности разработчики пропатчили 11 багов, затрагивающих AppleAVD, Apple Keyboard, WebKit и Siri.

Несмотря на то, что сама Apple не присваивает выявленным брешам рейтинг, благодаря CVE-идентификаторам можно понять, что среди уязвимостей есть действительно опасные. Взять, к примеру, баг Siri, позволяющий злоумышленнику с физическим доступом к iPhone просмотреть содержимое уведомлений на заблокированном экране.

Однако самая серьёзная уязвимость, о которой рассказали специалисты IBM X-Force, позволяет повысить свои права в системах iOS и iPadOS (затрагивает все версии до 13.7 включительно). Получившую идентификатор CVE-2020-9992 дыру можно использовать, если жертва откроет специально созданный файл.

«В результате успешной эксплуатации атакующий сможет выполнить произвольный код в системе», — описывают проблему безопасности исследователи.

Как сообщила Apple, брешь кроется в компоненте IDE, выступающем в роли интерфейса для передачи данных от материнской платы к хранилищу устройства.

«Мы устранили уязвимость с выходом систем iOS 14, iPadOS 14, tvOS 14 и watchOS 7,», — заявили купертиновцы.

Telegram-бот раздаёт под видом ЮниКредит банковский Android-троян

Эксперты D3Lab обнаружили поддельную страницу UniCredit, которая обещает пользователям $100 за установку приложения и ещё по $50 за каждого приглашённого друга. Щедрость, как обычно, заканчивается там, где начинается APK-файл.

Мошенники зарегистрировали домен unicredit-tme[.]shop и оформили его под банковскую акцию.

Кнопка загрузки вела не в официальный магазин, а в Telegram-бота. Тот уже уговаривал жертву установить приложение вручную и разрешить загрузку из неизвестных источников.

Скачанный APK маскируется под приложение UniCredit, но на деле является загрузчиком. Внутри него спрятан банковский троян Albiriox — вредонос не скачивается отдельно из интернета, а собирается прямо на устройстве из замаскированных файлов. Такой трюк снижает шанс, что защитные системы успеют перехватить загрузку.

 

После установки троян просит доступ к специальным возможностям Android, СМС, уведомлениям и отображению поверх других окон. Этого хватает, чтобы читать экран, нажимать кнопки, перехватывать коды подтверждения и показывать фальшивые формы входа.

Albiriox продаётся по модели «вредонос как услуга» примерно за $650 в месяц и, по данным исследователей, нацелен более чем на 400 банковских, финтех- и криптоприложений. Оператор получает удалённый доступ к телефону почти как через VNC и может подтверждать переводы прямо с устройства жертвы, обходя двухфакторную аутентификацию.

RSS: Новости на портале Anti-Malware.ru