Перейти к содержанию

Как работает Apple Lockdown Mode | Блог Касперского


Рекомендуемые сообщения

В июле 2022 года компания Apple анонсировала специальный защищенный режим работы для собственных устройств. Режим получил название Lockdown Mode, и он серьезно ограничивает функциональность смартфона, планшета или ноутбука. Цель Lockdown Mode — снизить вероятность успеха таргетированных атак, которые чаще всего угрожают политикам, активистам и журналистам. Lockdown Mode будет внедрен в ближайших релизах iOS 16 (для смартфонов), iPadOS 16 (для планшетов) и macOS 13 Ventura (для настольных компьютеров и ноутбуков).

Для обычных людей такой режим работы устройства, скорее всего, будет неудобным. Компания Apple рекомендует использовать его только тем пользователям, чья деятельность предполагает высокую вероятность проведения против них целевой атаки. В этой статье мы разберем возможности Lockdown Mode, сравним введенные ограничения с возможностями известных эксплойтов для смартфонов Apple и постараемся объяснить, почему этот режим может быть полезным, но панацеей не станет.

Lockdown Mode в деталях

До конца этого года, с выпуском новых версий операционной системы, в вашем смартфоне или планшете Apple (если он сравнительно современный, то есть выпущен не ранее 2018 года) в настройках появится возможность активировать режим Lockdown Mode.

Экран активации режима Lockdown Mode на смартфоне Apple

Экран активации режима Lockdown Mode на смартфоне Apple. Источник

После активации телефон перезагрузится, и у вас перестанут работать некоторые мелкие, но — как потом наверняка выяснится — невероятно важные для вас фичи. Например, будут заблокированы вложения в чатах iMessage. Могут перестать правильно работать сайты в браузере. До вас станет труднее достучаться, если вы ранее с таким абонентом не общались. Все эти ограничения стараются закрыть типовые точки входа, представляющие особый интерес для атакующих.

Если подробнее, то Lockdown Mode вводит следующие ограничения на работу телефона, планшета или компьютера Apple:

  1. В чате iMessage вы сможете видеть только присланный вам текст и картинки. Любые другие вложения будут заблокированы.
  2. В браузере будут отключены некоторые технологии, такие как метод компиляции кода just-in-time.
  3. Будут заблокированы все входящие приглашения пообщаться через сервисы Apple. Например, вам нельзя будет позвонить по Facetime, если вы ранее не общались с этим абонентом.
  4. Смартфон никак не будет взаимодействовать с компьютером (или другими внешними устройствами, подключаемыми по кабелю), если он заблокирован.
  5. Нельзя будет устанавливать собственные профили конфигурации или добавлять телефон в систему централизованного управления мобильными устройствами.

Первые три пункта призваны ограничить самые распространенные удаленные целевые атаки на устройства Apple: через «зараженное» сообщение, присылаемое через iMessage, через подготовленный веб-сайт, на который вам присылают ссылку, через входящий видеозвонок.

Четвертый пункт призван снизить вероятность сценария, когда ваш айфон, оставленный без присмотра, подключают к компьютеру и через уязвимость в протоколе обмена данными похищают ценную информацию.

Наконец, пятый пункт делает невозможным подключение смартфона, который находится в режиме локдауна, к корпоративной системе Mobile Device Management. В обычных случаях MDM часто используется компаниями также в целях безопасности: например, для удаления информации на телефоне в случае его потери. Но эта функция может использоваться и для кражи данных, так как предоставляет администратору MDM широкие полномочия по контролю над устройством.

В общем, Lockdown Mode звучит как хорошая идея. Может быть, нам всем стоит пойти на некоторые неудобства, чтобы мы были защищены?

 

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В сентябре 2024 года группа исследователей из Университета Флориды и Техасского технологического университета представила научную работу с описанием весьма замысловатой методики перехвата текстовой информации, которую вводит пользователь гарнитуры виртуальной/дополненной реальности Apple Vision Pro.
      Изобретенный ими способ атаки на пользователей Vision Pro исследователи назвали GAZEploit. В этом посте мы попробуем разобраться, как работает эта атака, насколько она эффективна, реалистична и опасна для владельцев VR/AR-устройств Apple и как лучше защитить свои пароли и другую конфиденциальную информацию.
      Как устроен ввод информации в Apple visionOS
      Сперва немного поговорим о том, как вообще устроен ввод информации в visionOS — операционной системе, на базе которой работает Apple Vision Pro. Одной из наиболее впечатляющих инноваций гарнитуры смешанной реальности Apple стало чрезвычайно эффективное использование окулографии, то есть отслеживания движения глаз пользователя.
      Направление взгляда служит в качестве основного метода взаимодействия пользователя с интерфейсом visionOS. Точность отслеживания положения глаз пользователя настолько высока, что ее достаточно для работы даже с очень небольшими элементами интерфейса — в том числе с виртуальной клавиатурой.
      Для ввода текста в visionOS используется виртуальная клавиатура и окулография. Источник
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Мы ежедневно трудимся, чтобы наши продукты и решения оставались одними из лучших — как по нашему собственному мнению, так и по версии независимых исследователей. Делаем это всесторонне: добавляем новые фичи, боремся с новыми вредоносными программами, облегчаем миграцию и всячески улучшаем пользовательский опыт.
      Сегодня расскажем о большом обновлении Kaspersky Password Manager для мобильных устройств, которое, уверены, сделает хранение и управление паролями, кодами двухфакторной аутентификации и шифрованными документами еще удобнее. Во всех магазинах приложений это обновление появится в течение ноября 2024 года. О продвинутой фильтрации, работе поиска, синхронизации и многом другом — в этом материале.
      Коротко о главном
      Мобильной версии нашего менеджера паролей в этом году исполняется 10 лет (а версии для компьютеров — и все 15), и за это время нам удалось собрать лучшие практики в одном приложении. Несколько последних лет мы проводили исследования, в которых изучали шаблоны поведения пользователей Kaspersky Password Manager, и на их основе глобально поменяли навигацию в мобильных версиях менеджера паролей.
      Что нового:
      Заменили боковое меню с основными функциями продукта на навигационную панель, теперь все функции распределены по разделам. Создали отдельный раздел для поиска внутри приложения и улучшили сценарии его работы. Сделали работу с избранными записями еще удобнее, теперь они закрепляются в самом верху списка записей. Создали и вывели кнопку раздела «Синхронизация» на видное место. Сгруппировали генератор, импорт и проверку паролей в отдельный раздел «Инструменты». Изменения доступны всем пользователям Kaspersky Password Manager для Android (версии приложения 9.2.106 и выше) и iOS (версии приложения 9.2.92 и выше).
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Наши эксперты из Global Research and Analysis Team (GReAT) обнаружили два вредоносных пакета в The Python Package Index (PyPI), популярном репозитории софта для программирования на Python. Согласно описанию, пакеты представляли собой библиотеки для работы с популярными языковыми моделями. Однако, на самом деле они имитировали заявленную функциональность при помощи демоверсии ChatGPT, а основной их целью была установка зловреда JarkaStealer.
      Пакеты были доступны для скачивания больше года и, судя по статистике репозитория, за это время они были скачаны более 1700 раз пользователями из более чем 30 стран.
      Что за пакеты и для чего они использовались
      Вредоносные пакеты были загружены в репозиторий одним автором и отличались друг от друга только названием и описанием. Первый назывался gptplus и якобы позволял реализовать доступ к API GPT-4 Turbo от OpenAI; второй — claudeai-eng и, согласно описанию, по аналогии обещал доступ к API Claude AI от компании Anthropic PBC.

      В описаниях обоих пакетов были примеры использования, которые объясняли, как создавать чаты и посылать сообщения языковым моделям. Но в действительности операторы этой атаки встроили в код механизм взаимодействия с демо-прокси ChatGPT, чтобы убедить жертву в работоспособности пакета. А содержавшийся, тем временем, в пакетах файл __init__.py декодировал содержавшиеся внутри данные и скачивал из репозитория на GitHub файл JavaUpdater.jar. Если на машине жертвы не обнаруживалась Java, то он также скачивал и устанавливал среду выполнения для Java (JRE) из Dropbox. Сам jar-файл содержал зловред JarkaStealer, который использовался злоумышленниками для компрометации среды разработки и незаметной эксфильтрации похищенных данных.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
×
×
  • Создать...