Forwarded from surfIT | Новости IT
Новая уязвимость iPhone
Исследователи из Citizen Lab обнаружили новую уязвимость в iMessage, использующуюся для установки шпионского ПО Pegasus от NSO Group на устройствах бахрейнских активистов.
В общей сложности у девяти бахрейнских активистов (включая членов Бахрейнского центра по правам человека) были взломаны iPhone в ходе кампании, частично организованной с помощью Pegasus, которую Citizen Lab с высокой уверенностью связывает с правительством Бахрейна.
Шпионское ПО было внедрено на их устройства после компрометации с помощью двух эксплойтов iMessage с Zero-click (удалённая атака на устройство, не требующая взаимодействие с пользователем): эксплойта 2020 KISMET и нового, ранее не встречавшегося эксплойта под названием FORCEDENTRY.
Источник
#infosec #apple #exploit
Исследователи из Citizen Lab обнаружили новую уязвимость в iMessage, использующуюся для установки шпионского ПО Pegasus от NSO Group на устройствах бахрейнских активистов.
В общей сложности у девяти бахрейнских активистов (включая членов Бахрейнского центра по правам человека) были взломаны iPhone в ходе кампании, частично организованной с помощью Pegasus, которую Citizen Lab с высокой уверенностью связывает с правительством Бахрейна.
Шпионское ПО было внедрено на их устройства после компрометации с помощью двух эксплойтов iMessage с Zero-click (удалённая атака на устройство, не требующая взаимодействие с пользователем): эксплойта 2020 KISMET и нового, ранее не встречавшегося эксплойта под названием FORCEDENTRY.
Источник
#infosec #apple #exploit
Forwarded from surfIT | Новости IT
Мошенник проник в тысячи аккаунтов iCloud, чтобы найти обнаженные фотографии
Преступник из Лос-Анджелеса признал себя виновным в совершении тяжких преступлений, после взлома тысяч аккаунтов iCloud, в поисках фотографий обнаженных женщин.
Хао Куо Чи собрал более 620 000 частных фото и видео, выдавая себя за сотрудников службы поддержки Apple, рассылал электронные письма, заставляя своих жертв предоставить идентификаторы и пароли Apple. Чи использовал социальную инженерию и фишинговые схемы.
Афера Чи провалилась после того, как в марте 2018 года он взломал аккаунт iCloud публичного лица, и фотографии оказались на порнографических сайтах. ФБР начало расследование и обнаружило, что вход в аккаунт iCloud жертвы был осуществлен из дома Чи.
Чи признал себя виновным по одному пункту обвинения в сговоре и трем пунктам обвинения в получении несанкционированного доступа к защищенному компьютеру, и теперь ему грозит до пяти лет тюрьмы за каждое преступление.
После этого инцидента компания Apple усилила защиту учетных записей iCloud, предложив двухфакторную аутентификацию и отправляя электронные письма при каждом новом входе в учетную запись iCloud.
Источник
#infosec #apple #cloud
Преступник из Лос-Анджелеса признал себя виновным в совершении тяжких преступлений, после взлома тысяч аккаунтов iCloud, в поисках фотографий обнаженных женщин.
Хао Куо Чи собрал более 620 000 частных фото и видео, выдавая себя за сотрудников службы поддержки Apple, рассылал электронные письма, заставляя своих жертв предоставить идентификаторы и пароли Apple. Чи использовал социальную инженерию и фишинговые схемы.
Афера Чи провалилась после того, как в марте 2018 года он взломал аккаунт iCloud публичного лица, и фотографии оказались на порнографических сайтах. ФБР начало расследование и обнаружило, что вход в аккаунт iCloud жертвы был осуществлен из дома Чи.
Чи признал себя виновным по одному пункту обвинения в сговоре и трем пунктам обвинения в получении несанкционированного доступа к защищенному компьютеру, и теперь ему грозит до пяти лет тюрьмы за каждое преступление.
После этого инцидента компания Apple усилила защиту учетных записей iCloud, предложив двухфакторную аутентификацию и отправляя электронные письма при каждом новом входе в учетную запись iCloud.
Источник
#infosec #apple #cloud
Forwarded from surfIT | Новости IT
Обычный необычный кабель: кейлоггер в usb
Был создан ничем не примечательный на вид Lightning кабель, который может быть использован для кражи данных.
«OMG кабель» работает в точности как обычный Lightning, но при этом может снимать и пересылать злоумышленникам логи с присоединённых Mac клавиатур, iPad и iPhone. Краденые данные могут быть переданы на расстояние до полутора километров. Все что требуется злоумышленнику - это подключение к тому же Wi-Fi и специальное веб приложение-кейлоггер.
Компания Hak5, специализирующаяся на кибербезопасности, уже запустила массовое производство. Кабели доступны в нескольких вариантах: от Lightning до USB-C.
Источник
#infosec #apple #usb
Был создан ничем не примечательный на вид Lightning кабель, который может быть использован для кражи данных.
«OMG кабель» работает в точности как обычный Lightning, но при этом может снимать и пересылать злоумышленникам логи с присоединённых Mac клавиатур, iPad и iPhone. Краденые данные могут быть переданы на расстояние до полутора километров. Все что требуется злоумышленнику - это подключение к тому же Wi-Fi и специальное веб приложение-кейлоггер.
Компания Hak5, специализирующаяся на кибербезопасности, уже запустила массовое производство. Кабели доступны в нескольких вариантах: от Lightning до USB-C.
Источник
#infosec #apple #usb
Forwarded from surfIT | Новости IT
Обновляем iOS. Apple исправили серьёзную уязвимость
В системе исправили серьёзную уязвимость, которая позволяла получить контроль над устройством при использовании вредоносного ПО.
Впервые уязвимость под названием ForcedEntry обнаружили на смартфоне активиста из Саудовской Аравии. Смартфон был заражён ПО Pegasus, принадлежащим компании NSO Group.
Вредоносный код можно запустить не только на смартфонах, но также на планшетах и компьютерах Mac. Достаточно было загрузить PDF-файл с вредоносным кодом.
В израильской компании NSO Group не подтвердили, что имеют к уязвимости какое-либо отношение, однако и не опровергли этого.
Источник
#apple #ios #exploit
В системе исправили серьёзную уязвимость, которая позволяла получить контроль над устройством при использовании вредоносного ПО.
Впервые уязвимость под названием ForcedEntry обнаружили на смартфоне активиста из Саудовской Аравии. Смартфон был заражён ПО Pegasus, принадлежащим компании NSO Group.
Вредоносный код можно запустить не только на смартфонах, но также на планшетах и компьютерах Mac. Достаточно было загрузить PDF-файл с вредоносным кодом.
В израильской компании NSO Group не подтвердили, что имеют к уязвимости какое-либо отношение, однако и не опровергли этого.
Источник
#apple #ios #exploit
Forwarded from surfIT | Новости IT
Шифрование iCloud не будет доступно для России
Apple на недавней презентации представила услугу "iCloud+", которая добавила новые функции в платные тарифные планы облачного сервиса. Одна из этих функций - "Частный узел" (Private Relay) стала недоступна в России.
"Частный узел" позволяет скрывать ваш настоящий IP-адрес и ресурсы, на которые вы заходите, от всех, включая провайдера.
Apple воздерживается от комментариев с официальными заявлениями, просто констатируя через интерфейс факт отсутствия поддержки в России.
Специально для surfIT
#apple #icloud
Apple на недавней презентации представила услугу "iCloud+", которая добавила новые функции в платные тарифные планы облачного сервиса. Одна из этих функций - "Частный узел" (Private Relay) стала недоступна в России.
"Частный узел" позволяет скрывать ваш настоящий IP-адрес и ресурсы, на которые вы заходите, от всех, включая провайдера.
Apple воздерживается от комментариев с официальными заявлениями, просто констатируя через интерфейс факт отсутствия поддержки в России.
Специально для surfIT
#apple #icloud
Forwarded from surfIT | Новости IT
О безопасности в iOS 15
В понедельник Apple выпустила новую версию своей ОС, добавив встроенный генератор кодов двухфакторной аутентификации, а также несколько функций конфиденциальности и защиты от отслеживания.
Что касается исправлений, Apple задокументировала 22 уязвимости, устраненные в новых версиях, и предупредила, что эти проблемы могут привести к отказу в обслуживании или обходу аутентификации. Наиболее серьезная из этих уязвимостей может привести к выполнению произвольного кода через подделанные шрифты или файлы изображений. Также есть дыры в безопасности в технологии Face ID.
Apple деликатно подталкивает пользователей перейти на более новую версию системы.
#infosec #apple #ios
Специально для surfIT
В понедельник Apple выпустила новую версию своей ОС, добавив встроенный генератор кодов двухфакторной аутентификации, а также несколько функций конфиденциальности и защиты от отслеживания.
Что касается исправлений, Apple задокументировала 22 уязвимости, устраненные в новых версиях, и предупредила, что эти проблемы могут привести к отказу в обслуживании или обходу аутентификации. Наиболее серьезная из этих уязвимостей может привести к выполнению произвольного кода через подделанные шрифты или файлы изображений. Также есть дыры в безопасности в технологии Face ID.
Apple деликатно подталкивает пользователей перейти на более новую версию системы.
#infosec #apple #ios
Специально для surfIT
Forwarded from surfIT | Новости IT
Apple не исправляет баги
Исследователь безопасности, возмущённый Bug Bounty-программой от Apple, раскрыл три уязвимости нулевого дня в iOS.
Перейдём к уязвимостям:
✔️Первая уязвимость в службе Gamed позволяет злоумышленникам получить ваши пользовательские данные и доступ к файлам;
✔️Вторая уязвимость в службе nehelper позволяет узнать, какие приложения установлены на устройстве;
✔️Третья, также в службе nehelper, используется для получения доступа к информации Wi-Fi устройства.
Также большинство других специалистов рассказали, что служба безопасности компании не исправляет ошибки в течение нескольких месяцев, выплачивает заниженные денежные вознаграждения и запрещает исследователям участвовать в их программе, если они жалуются.
#infosec #apple #exploit
— surfIT News —
Исследователь безопасности, возмущённый Bug Bounty-программой от Apple, раскрыл три уязвимости нулевого дня в iOS.
Перейдём к уязвимостям:
✔️Первая уязвимость в службе Gamed позволяет злоумышленникам получить ваши пользовательские данные и доступ к файлам;
✔️Вторая уязвимость в службе nehelper позволяет узнать, какие приложения установлены на устройстве;
✔️Третья, также в службе nehelper, используется для получения доступа к информации Wi-Fi устройства.
Также большинство других специалистов рассказали, что служба безопасности компании не исправляет ошибки в течение нескольких месяцев, выплачивает заниженные денежные вознаграждения и запрещает исследователям участвовать в их программе, если они жалуются.
#infosec #apple #exploit
— surfIT News —
🍎 Приватные очки от Apple
На сайте патентов Apple была опубликована идея очков для приватного просмотра. Она не позволит людям вокруг видеть то, что показывает ваше устройство.
Графические данные будут видны только через специальные очки. Стоит отметить, что это всего лишь концепция, и выход очков от Apple под вопросом.
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#apple #patent
На сайте патентов Apple была опубликована идея очков для приватного просмотра. Она не позволит людям вокруг видеть то, что показывает ваше устройство.
Графические данные будут видны только через специальные очки. Стоит отметить, что это всего лишь концепция, и выход очков от Apple под вопросом.
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#apple #patent
Отключение карт «Мир» в Apple Pay
Apple официально заблокировала карты банковской системы «Мир» в своём приложении-кошельке Apple Pay. Заметим, что теперь нельзя не только добавлять новые карты, но и оплачивать старыми.
🗞 Подробнее: https://codeby.net/blogs/otklyuchenie-kart-mir-v-apple-pay/
📝 Школа Кодебай |🍿 YouTube |🌀 ВКонтакте
#apple #pay
Apple официально заблокировала карты банковской системы «Мир» в своём приложении-кошельке Apple Pay. Заметим, что теперь нельзя не только добавлять новые карты, но и оплачивать старыми.
🗞 Подробнее: https://codeby.net/blogs/otklyuchenie-kart-mir-v-apple-pay/
📝 Школа Кодебай |🍿 YouTube |🌀 ВКонтакте
#apple #pay
👍8🔥8😢4😁3👎1