Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
На конференции RSA 2018 специалисты Symantec рассказали об опасной проблеме, обнаруженной в механизме синхронизации iOS-устройств через iTunes и Wi-Fi. Исследователи дали проблеме имя Trustjacking и предупредили, что патч для нее неэффективен.
Дело в том, что Apple предоставляет своим пользователям возможность синхронизации данных на iOS-устройствах (iPhone, iPad и iPod touch) с помощью iTunes по сети Wi-Fi. Если синхронизация включена, пользователь может «связать» свои iPhone и Mac, после чего сможет получить доступ к смартфону через локальный Wi-Fi в любое удобное время. По сути, это удобная замена проводного соединения двух устройств.
Исследователи объясняют, что проблема заключается в криптографических ключах, генерируемых для доступа к устройству через USB, которые так же используются и во время аутентификации через Wi-Fi. Злоумышленник, завладевший такими ключами, имеет возможность воспользоваться функциональностью синхронизации. Так как учетные данные сохраняются на компьютере перманентно, атака может быть осуществлена недели или даже месяцы спустя.
С помощью Wi-Fi синхронизации через iTunes, атакующий может обманом заставить жертву «спарить» свой смартфон с вредоносным устройством. Кроме того, iTunes API позволяет следить за всем, что происходит на экране устройства, делая скриншоты через заданные промежутки времени и передавая их обратно в iTunes преступника. Злоумышленник сможет даже удаленно устанавливать или удалять приложения, или инициировать бэкап, а позже внимательно изучить все собранные таким образом данные.
Эксперты объясняют, что эксплуатировать Trustjacking можно как с применением социальной инженерии, так и без нее. Так, казалось бы, владелец iPhone или iPad все равно получит всплывающее уведомление и должен будет дать свое разрешение на установление соединения с устройством атакующего. С другой стороны, эксперты объясняют, что малварь, которой злоумышленник может заразить девайс, способна активировать Wi-Fi синхронизацию через iTunes, используя автоматические скрипты, а затем собрать данные с любых iOS-гаджетов, подключенных к той же локальной сети Wi-Fi, или заразить их малварью.
Например, злоумышленник может заразить Mac малварью или купить подержанный компьютер, который перед продажей очистили не слишком тщательно, а после использовать учетные данные для атаки на жертву. Так же запрос о «доверии» пользователь может получить и во время зарядки своего устройства в аэропорту, а затем преступник получит доступ к мобильному устройству через местную сеть Wi-Fi.
Хуже того, аналитики отмечают, что Trustjacking может быть задействован для незаметного направления всего сетевого трафика устройства через VPN, после чего атакующий сможет эксплуатировать проблему даже без участия Wi-Fi.
Эксперты рассказали, что проблема была обнаружена еще в 2017 году, и после релиза iOS 11 пользователей мобильных устройств стали просить ввести пароль во время «спаривания» гаджетов с компьютером. То есть по-тихому соединить чужой iPhone со своим компьютером атакующий уже не сумеет. Однако в Symantec уверены, что этого недостаточно для защиты от Trustjacking. Если пользователь уже «доверился» компьютеру, быстро отозвать доступ он уже не сможет, и далее эксплуатация атаки все равно возможна по любому из вышеописанных сценариев.
Исследователи говорят, что лучший способ удостовериться в том, что ваше iOS устройство не «доверяет» чужим и просто лишним компьютерам, это произвести сброс списка доверенных девайсов вообще. Сделать это можно в настройках: Settings > General > Reset > Reset Location and Privacy.
Фото: ALYSSA FOOTE
|
|