Критический баг в iOS позволял с легкостью взломать iPhone через Wi-Fi
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Критический баг в iOS позволял с легкостью взломать iPhone через Wi-Fi

Критический баг в iOS позволял с легкостью взломать iPhone через Wi-Fi

Раскрыты детали легко эксплуатируемой уязвимости в iOS, грозящей захватом контроля над близко расположенным устройством по Wi-Fi. В случае успеха злоумышленник сможет беспрепятственно просматривать фотоальбом жертвы, читать личные сообщения и отслеживать действия на устройстве в реальном времени.

Проблему, которой был присвоен идентификатор CVE-2020-9844, обнаружил участник Google-проекта Project Zero Иан Бир (Ian Beer). Получив отчет, Apple скорректировала код и выпустила соответствующие обновления для iOS (13.5) и macOS Catalina (10.15.5) — они вышли в мае. Показательный эксплойт CVE-2020-9844 был опубликован во вторник, 1 декабря.

В своих бюллетенях Apple классифицирует уязвимость как двойное освобождение памяти, которое может вызвать системный сбой и повлечь нарушение целостности памяти ядра. В своей блог-записи Бир пояснил, что корнем проблемы является ошибка переполнения буфера, которая возникает во время работы Wi-Fi-драйвера, ассоциированного с протоколом Apple Wireless Direct Link (AWDL). Этот протокол Apple специально разработала для упрощения коммуникаций между своими устройствами.

Для демонстрации эксплойта исследователь использовал iPhone 11 Pro, компьютер Raspberry Pi и два разных Wi-Fi-адаптера. В итоге он смог удаленно получить доступ на чтение и запись к памяти ядра целевого устройства и внедрить в нее шелл-код с правами root, а также выйти за пределы песочницы и добраться до пользовательских данных.

 

Сведений об использовании CVE-2020-9844 в реальных атаках пока нет, однако Бир полагает, что вендоры эксплойтов уже взяли эту уязвимость на заметку.

Баги в проприетарном протоколе AWDL объявлялись и ранее. Так, в июле исследователи из Дармштадтского технического университета раскрыли информацию об уязвимостях, позволявших следить за пользователями i-гаджетов, вызывать системные сбои, а также перехватывать файлы, пересылаемые между устройствами, из положения «человек посередине» (man-in-the-middle, MitM).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Positive Technologies будет помогать повышать квалификацию преподавателей

Positive Technologies запустила новый поток бесплатного обучения по практической кибербезопасности для преподавателей учебных заведений в рамках проекта «Школа преподавателей кибербезопасности» в партнерстве с МГТУ им. Н. Э. Баумана и при поддержке Минцифры России.

Программа рассчитана на 7 месяцев обучения. Школа преподавателей кибербезопасности — один из проектов Positive Education, направленный на системное развитие индустрии подготовки кадров в сфере практической кибербезопасности.

Основная его цель — восполнить существующий разрыв между академическим сообществом и индустрией кибербезопасности через погружение действующих преподавателей в тематику современных угроз и актуальных методов противодействия кибератакам.

Согласно исследованию Positive Technologies и «ЦСР «Северо-Запад», потребность в ИБ-кадрах на сегодняшний день в 2–3 раза превышает число молодых профессионалов, выходящих на рынок труда. Ситуация усугубляется увеличивающимся разрывом между вузовским образованием и индустрией кибербезопасности.

Заместитель министра цифрового развития, связи и массовых коммуникаций Российской Федерации Александр Шойтов очень высоко оценил данную инициативу. По его словам, повышение квалификации преподавательского состава по ИТ- и особенно ИБ-специальностями должно стать постоянным и непрерывным процессом.

Александр Шойтов назвал возможными точками для приложения усилий ИТ-компаний такие направления как помощь в создании ИТ-инфраструктуры образовательных учреждений, участие специалистов-практиков в обучении студентов и организация регулярной переподготовки профессорско-преподавательского состава.

Советник генерального директора Positive Technologies, доцент МГТУ им. Н. Э. Баумана Артем Сычев назвал главной задачей данной программы передачу опыта технологических компаний до сферы образования и тем самым вывести на новое качество уровень подготовки студентов. Он назвал это важной частью социальной ответственности компании.

«Технологический суверенитет страны невозможен без развития образования в сфере информационных технологий и кибербезопасности. Минцифры уделяет существенное внимание подготовке кадров для индустрии. Мы видим работу ИТ-компаний с вузами как систему, и весьма долгосрочную, и сейчас обсуждаем определенные стимулы для крупных ИТ-компаний, которые получают льготы, для того чтобы они помогали с процессом обучения студентов в высших учебных заведениях,— комментирует Александр Шойтов. — Сегодня компания по информационной безопасности Positive Technologies в партнерстве с МГТУ им. Баумана стартовали бесплатную программу по практической кибербезопасности для преподавателей вузов, работающих на кафедрах информационной безопасности и смежных технических специальностей. Обучение преподавателей – важная часть подготовки квалифицированных кадров в сфере ИБ, и мы рассчитываем, что программа внесёт свой позитивный вклад в развитие отрасли».

«Цель «Школы преподавателей кибербезопасности» — сократить разрыв между академическим сообществом и ИБ-отраслью. Пилот этого проекта мы запустили в 2023 году и уже на первый поток к нам зарегистрировались более 900 преподавателей из 140 учебных заведений. В этом году мы стартовали уже боле масштабно, запустив проект в формате программы повышения квалификации совместно с образовательным партнером, МГТУ им. Н. Э. Баумана. Запрос на участие в проекте в этом году такой же активный, причем не только в России: программой интересуются страны-партнеры, а значит, у нее есть экспортный потенциал», — отмечает Юлия Данчина, директор по обучению клиентов и партнеров Positive Technologies, руководитель образовательного центра Positive Education.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru