Безопасность iOS: как сохранить «яблоки» от Интернет-червей?

Безопасность iOS считается лучше, чем защита платформы Android. Но чтобы защитить айфон, нужно осознавать его потенциал. В статье поговорим об уязвимостях iOS и настройках безопасности Apple. 

Уязвимости на iOS: что такое bug bounty?

В октябре 2020 года этичные хакеры обнаружили 55 уязвимостей в iOS. Из них 11 являются критическими. Команду белых хакеров возглавил двадцатилетний Сэм Карри. Как пишет исследователь в блоге, используя эти уязвимости, можно получить полный контроль над инфраструктурой Apple: украсть личную электронную почту, данные на iCloud и прочие персональные сведения. Сэм Карри взломал Apple, подключившись к локациям VPN на iOS.

Как известно, Apple платит разработчикам, которые найдут уязвимости в системе. Команда под руководством Сэма Карри получила $288500. 

Я спросила Сэма Карри, какой баг на iOS показался самым серьезным:

• Мы нашли уязвимость, которая больше всего влияет на жизнь пользователей. При помощи этого бага мы можем завладеть всей пользовательской информацией Apple, включая в себя банковскую карту, телефон, полное имя и покупательское данные. Самое удивительное в этом баге было то, что техподдержка не определила, что мы осуществляем взлом, когда мы доказывали, что уязвимость существует. Мы отправили тысячу запросов. Я думал, команда мгновенного реагирования определит их. Но никто даже не связался с нами и не patch vulnerability, когда мы тестировали ее. 

Интересует вопрос, какая платформа безопаснее — Android или iOS. Дискуссия между приверженцами обеих систем стара, как мир. А что думает об этом Сэм Карри?

• В сфере безопасности считается, что любую компанию можно взломать — и однажды это произойдет. Очевидно, некоторые вещи позволяют предотвратить это. Но я не верю, что владельцы айфонов более подвержены хакерским атакам, чем пользователи других гаджетов. Apple — проактивная команда — уделяет внимание безопасности продуктов. Их программа bug bounty отличается наиболее значительной системой оплаты, и их команда быстро реагирует на найденные уязвимости, а также награждает тех, кто вычислил проблемы. Лично я являюсь пользователем айфона и пока чувствую себя в безопасности. Но не удивлюсь, если когда-нибудь произойдет утечка информации. 

Что делать пользователям, которых все же беспокоят проблемы кибербезопасности? Сэм Карри убежден:

• Я бы посоветовал разобраться а моделью угрозы: кто может атаковать их и с какой целью? Если речь идёт об обычных пользователях, у которых есть счёт в банке или пенсионные накопления, возможно, хакер попытается получить контроль над их имуществом. Осознание этого факта поможет определить, чего ждать. Необходимо внимательно относиться к подозрительной активности. Я бы предложил пользователям iOS обратить внимание на все происходящее с айфоном, что выходит за пределы ожидаемого. Также стоит пользоваться менеджерами паролей. Обратитесь к профессионалу или любому человеку, который разбирается в технологиях, если происходит что-то неожиданное. 

Считается, что Android взломать легче, чем iPhone. Так это или нет?

• Честно говоря, я не могу однозначно ответить на этот вопрос, ведь никогда не пытался взламывать безопасность на Android раньше. Киберпреступники в настоящее время ищут уязвимости в обеих операционных системах каждый день. Так что, полагая, обе платформы подвержены атакам и доступны хакерам. 

Программа поиска уязвимостей на iOS — bug bounty — появилась в ответ на крамольное заявление Zerodium. Компания пообещала заплатить $2 млн хакерам, которые объяснят, какие уязвимости дают возможность удаленно взломать iOS. Речь идёт об установке программного обеспечения, без интеграции пользователя. Компания намерена продать информацию официальному лицу из правительства.

При этом, Сэм Карри считает, что iOS, в целом, является безопасной платформой. Хотя и нуждается в некоторых изменениях:

• Apple должны обратить внимание на уязвимости веб-приложений. Кажется, что безопасность iOS на протяжении всей истории фокусировалась на, собственно, на операционной системе iOS. Большая часть функциональности продуктов Apple содержится на веб-сайтах или API, что определяет работу девайсов. Наше тестирование показало, что команда Apple потратила больше времени на безопасность девайсов, чем на веб-безопасность.

Самые критические уязвимости, обнаруженные хакерами, были следующие:

• возможность получить доступ к коду удаленно через аутентификацию и авторизацию;
• возможность взломать приложение DELMIA Apriso через аутентификацию и таким образом приобрести функции глобального администратора;
• самовоспроизводящийся червь и межсайтовый скриптинг позволяют хакерам украсть информацию из iCloud через модифицированный электронный ящик;
• внедрение кода ОС при подделке запросов со стороны сервера на iCloud открывает преступнику доступ к внутреннему коду;
• возможность внедрять команды при помощи необработанного аргумента, который содержится в названии документа;
• атака на память позволяет получить контроль над инструментами для менеджмента, что ставит под угрозу корпоративную информацию;
• из-за слепого хранимого межсайтового скриптинга хакеру легко взломать саппорт.  

Когда команда белых хакеров сообщила в Apple об этом и многом другом, они учли все замечания и доработали функционал. 

Чтобы защитить iOS, не нужно быть программистом 

Чтобы защитить безопасность айфона, недостаточно приобрести дорогой девайс. Им нужно уметь пользоваться. Есть три степени влияния на безопасность iPhone, и каждой из них можно пользоваться в зависимости от обстоятельств.

Первая категория настроек безопасности включает в себя простые вещи, о которых нужно знать каждому. Речь идёт о паролях, VPN и браузере. Запуск данных настроек не слишком влияет на комфорт пользователя.

Второй тип безопасности оказывает среднее влияние на удобство владельца айфона. Здесь потребуются знания в области программирования.

Наконец, третья степень влияние на безопасность iPhone понадобится, если вы работаете с ценной информацией, за которой враги объявили настоящую охоту.

Но поговорим обо всем по порядку.

Безопасность iOS для чайников

1. Пароль на iPhone надёжнее, чем биометрия.

Биометрия не всегда спасает пользователя. Большая ошибка — полагаться на технологию распознавания лиц и пренебрегать надёжным рандомным паролем. Например, в 2017 году издание The Wired опубликовало историю о взломе FaceID через неделю после релиза iPhone X. Вьетнамская компания Bkav, которая работает в сфере безопасности, взломала FaceID, напечатав на 3-D принтере маску из силикона, с добавлением косметики и бумажных вырезок. Эта странная комбинация обманула систему распознавания лиц на iPhone. А хакеры заговорили о том, что FaceID менее безопасно, чем TouchID.

Кроме того, в некоторых странах полиция, поймав пользователя, может заставить его воспользоваться системой распознавания лиц и отпечатков пальцев, чтобы получить доступ к айфону. В то же время, полиция не имеет права заставить вас ввести пароль на телефоне. 

Например, в свете событий 2014 года в Вирджинии, где полиция заставила арестованного открыть смартфон, подозревая, что там могут быть улики общественность заговорила о том, что персональные данные не бывают в безопасности. Так, журнал Time пишет:

• Пятая поправка к Конституции США защищает право граждан скрывать данные посредством цифровых паролей. Это приравнивается к показаниям, невыгодным для свидетеля. В то же время, закон не защищает биометрию, например, отпечатки пальцев. 

1. Не пользуйтесь старыми паролями

Хоть и велик соблазн установить одинаковые пароли на все пользовательские аккаунты, этого не следует делать. Киберпреступники часто взламывают базы данных, в которых вы могли зарегистрироваться, и крадут логины и пароли. Если для каждого сайта вы придумывали собственный пароль, утечка данных из некой компании ничем вам не грозит. Но если вы решили воспользоваться старыми паролями для новых аккаунтов, хакеры легко взломают вашу систему. 

Например, в 2018 году более 446 млн логинов и паролей попали в руки хакеров, согласно Theft Resource Center and CyberScout. Это на 126% больше, чем в 2017 году. 

В 2019 году каждую минуту мировые бизнес-центр теряли до $2900000 из-за киберпреступлений. Утечка данных обходилась топовым компаниям в потерю $25 в минуту, по статистике Risk IQ. А в 2020 году в среднем компании теряли $3,86 млн из-за утечки информации, согласно сведениям IBM и Ponemon Institute. 

1. Ищите информацию в безопасных браузерах

Самый популярный браузер на iOS — Safari. На втором месте — Firefox. Хотя Apple регулярно внедряет функции приватности в этот браузер, все больше сознательных пользователей предпочитают альтернативы. Расследование The Wired показало, что есть четыре браузера, которые беспокоятся об анонимности пользователей не меньше, чем Safari и Firefox.

DuckDuckGo — браузер на iOS, который следит, чтобы вы посещали только сайты с https. После скроллинга каждой онлайн-страницы вы получаете оценку, насколько агрессивен данный сайт в отношении ваших персональных данных.

Кроме того, DuckDuckGo блокирует cookies, которые определяют ваш девайс, а затем сканирует политику конфиденциальности на сайте. Вы также можете автоматически очистить историю поиска после каждой сессии, а также установить таймер, чтобы удалять записи после определенного периода неактивности.  

Ghostery — браузер, предназначенный для iOS (а также Android). Сразу после инсталляции браузер блокирует рекламу и отслеживающие cookies. Браузер показывает, что именно, по мнению системы, нуждается в блокировке. Но если вы доверяете определенным сайтам, конечно, сможете отметить их как допустимые. С другой стороны, обнаружив сайты, наполненные отслеживающими технологиями, вы сможете заблокировать элементы по отдельности. Например, конкретно систему комментирования, медиа-плейеры и так далее. 

Браузер Tor подходит для macOS, а также Android и Windows. Выступает против слежки, видеонаблюдения и цензуры. Tor обеспечивает веб-навигацию через сложную зашифрованную сеть. Как хакерам, так маркетинговым центрам будет достаточно сложно отследить вашу онлайн-активности в этом браузере. 

Браузер Brave блокирует рекламу по умолчанию и налагает запреты на сбор ваших данных сайтами через cookies и трекинговые скрипты. Brave также блокирует попытки фишинга в сети и требует шифрования https. 

1. Используя DNS, не забывайте о VPN

На сегодняшний день слабой стороной Интернета остаётся DNS. Это сетевой протокол, который транслирует имя хостинга в IP-адрес. 

Поэтому, пользуясь сервисами DNS, не забывайте включать виртуальную приватную сеть VPN, которая сделает вас невидимыми для Интернет-провайдеров. 

1. Чем больше приложений, тем выше риск утечки данных

Не устанавливаете слишком много приложений, особенно от третьих лиц. Многие из них собирают информацию о пользователях, и в дальнейшем это может привести к утечке данных.

Чтобы проверить, какую информацию вы сообщаете своему девайсу, зайдите в Настройки — Конфиденциальность. 

Предлагаем вам чек-лист безопасности. Проверьте, насколько соответствует состояние вашего iOS принципам анонимности.

• Wi-Fi — автоматическая точка доступа отключена
• Уведомления — Показ миниатюр — Без блокировки / Никогда
• Основные — Обновления ПО — Автообновления включить 
• Основные — AirDrop — Причем выкл
• Основные — AirPlay и HandOff — Выкл
• Универсальный доступ — FaceID и код-пароль — Требовать внимание для FaceID — Выкл
• Siri и Поиск — Предложения в Поиске — Выкл
• FaceID/Touch ID и код-пароль — Включить код-пароль
• FaceID/TouchID и код-пароль — Разблокировка iPhone — Выкл
• FaceID/TouchID и код-пароль — Сбросить FaceID
• FaceID/TouchID и код-пароль — Стереть контент и настройки
• Конфиденциальность — Службы геолокации — Системные службы — Выкл
• Конфиденциальность — Аналитика и 
• Конфиденциальность — Реклама — Ограничить трекинг рекламы 
• Сотовая связь — SIM > PIN — Вкл
• iTunes и AppStore — Автоматические обновления — Вкл

1. Установите пароль на SIM-карту

Функция, которой часто незаслуженно пренебрегают, — пароль для SIM-карты. Но об этом нельзя забывать. 

Представьте, что у вас украли телефон. Мошенники смогут рассылать с вашего номера фишинговые SMS, подвергая ваши контакты опасности вирусного заражения. 

1. Jailbreaking: не забудьте о чувстве меры 

Jailbreaking — это процесс разблокировки iOS-устройств, при котором можно получить полный доступ над файловой системой аппарата 

Однако, если вы не занимаетесь белым хакингом и не уверены в собственных способностях к джейлбрейкингу, лучше не расширять функционал айфона таким образом. Ведь опции, которые вы получите благодаря джейлбрейкингу, не стоят того, чтобы в дальнейшем подвергнуться хакерскому взлому.

Безопасность iOS: функции для продвинутых пользователей 

1. Пользуйтесь iMessage вместо SMS

Apple обеспечивает достаточное шифрование для iMessage и FaceTime. Однозначно, iMessage безопаснее, чем SMS.

Например, издание Vox сообщает о том, что Apple может предоставить информацию о том, что содержалось в SMS конкретных пользователей, если есть такой запрос со стороны полиции. Но в то же время Apple признается:

• Из-за того, что iMessage зашифрованы, у нас нет доступа к содержанию вашей коммуникации. В некоторых случаях мы можем изъять информацию из серверных логов, собранных после того, как пользователи открыли доступ для некоторых приложений. Но это не работает в случае с iMessage. 

1. Установите приватные мессенджеры

Инсталлируйте мессенджеры для приватного общения на iOS. Рассмотрим преимущества мессенджеров для iOS, которые появились в рейтинге лучших секретных приложений в 2021 году, по версии Mobile App Daily.  

Signal

• поддерживает аудио-звонки;
• приватное общение в группах закрыто шифром:
• усовершенствован протокол сквозного шифрования;
• криптографические протоколы находятся в открытом доступе для обозревания;
• сообщения не сохраняются в серверах. 

Silence

• не требует регистрации;
• для обмена сообщениями не нужно соединение с Интернетом;
• максимальная безопасность обеспечивается протоколом шифрования Axolotl;
• локальные шифры следят за безопасностью iPhone, даже если девайс утерян. 

Wire

• подходит для корпоративного общения;
• присутствует сквозное шифрование;
• есть возможность зайти в систему с разных аккаунтов;
• проходит независимый аудит пользователей в открытых ресурсах;
• обеспечивает безопасный обмен файлами;
• поддерживает аудио и видео-звонки.

1. Обезопасьте себя при помощи FOSS

FOSS — это бесплатное программное обеспечение в открытом доступе, которое позволяет пользователям и программистам редактировать, модифицировать и использовать заново ресурсные коды ПО. У разработчиков появляется возможность усовершенствовать функциональность программы, оптимизировав ее.

FOSS соответствует стандартам кибербезопасности, так как вы можете убедиться, какие операции проводит конкретная программа.

1. Не доверяйте iCloud

Кто может просмотреть ваши данные на iCloud?

• Любой пользователь, получивший контроль над синхронизированным девайсом Apple, например, Mac, iPhone или iPad;
• Хакер, взломавший ваш AppleID и пароль;
• Собственно, Apple.

Кроме того, хотя iCloud считается безопасным хранилищем, были случаи утечки данных.

Например, в 2014 году личные фотографии знаменитостей утекли в открытый доступ из-за хакеров, которые взломали опцию «Найти мой iPhone». 

В 2018 году пользователи iCloud в Китае столкнулись с фишингом. В результате киберпреступники сняли средства с аккаунтов WeChat и AliPay.

А в 2019 году пользователи iPhone получали сообщения о взломе iCloud. Также им приходили спуфинговые уведомления с просьбой сообщить Apple ID и пароли. 

Если вас беспокоят вопросы анонимности ваших медиа, зайдите в Настройки, выберите Apple ID, затем iCloud. Отключите доступ к фото, музыке, контактам и другим опциям. 

1. Скопируйте ценные данные с iPhone на Mac

Чтобы убедиться, что никому, кроме вас не известны ваши персональные данные, проделайте следующие действия на Mac.

В секции Back Up (резервное копирование) поставьте галочку напротив пунктов:

• скопировать все данные с вашего айфона на Mac;
• зашифровать локальное резервное копирование.

Далее, в Основных отметьте:

• показывать это устройство, если оно подключено к Wi-Fi; 
• синхронизировать автоматически, когда устройство подключено.

1. Скачайте менеджер паролей

Сохранять пароли напрямую в браузере — плохая идея. Лучше пользоваться менеджерами паролей, которые позволят вам генерировать надежные и рандомные пароли для каждого аккаунта. А также позволят отследить онлайн-активность в профиле. 

1. Установите двухфакторную аутентификацию

Двухфакторная аутентификация — дополнительный слой защиты, который используется, чтобы убедиться, что пользователи, запрашивающие доступ над онлайн-аккаунтом, являются именно теми, за кого себя выдают.

О каких факторах аутентификации идёт речь?

Первый фактор предполагает, что нужно ввести имя пользователя и пароль. 

Второй фактор потребует предоставить информацию такого рода:

• ваши знания (PIN, код-пароль, ответ на секретный вопрос, графический пароль);
• ваше имущество (кредитная карта, аппаратный ключ);
• ваша личность (биометрия, голос, отпечатки пальцев).

1. Отключайте Bluetooth, когда не пользуетесь  

Bluetooth является сложной системой, а значит, всегда находится в зоне риска. Общественность говорит об уязвимостях Bluetooth с сентября 2017 года, когда BlueBorne сделали уязвимыми 5 млрд компьютеров, телефонов и элементов IoT. 

Уязвимости, как правило, проявляют себя в самом коде протокола Bluetooth или в технологии Bluetooth Low Energy. Кроме того, Bluetooth имеет настолько обширный стандарт, что многие разработчики не могут справиться со всеми опциями технологии, что и выражается в наличии багов. 

Кроме того, создатели приложений, которые запрашивают доступ к Bluetooth, могут отслеживать геолокация пользователей. Так, во время COVID-19, когда в азиатских странах эта технология следила, кто вышел на улицу без масок.

Если вас беспокоит вопрос личного пространства, лучше выключать Службу геолокации, если вы пользуетесь Bluetooth.

1. Закрывайте камеру от лишних глаз

Проблема видеонаблюдения остаётся актуальной вне зависимости от того, сколько вы потратили на последний айфон.

Поэтому стоит приобрести так называемые чехлы от дождя, закрывающие камеру (Camera Cover), также известные как экранная защита приватности (Privacy Screen Protector).

Рынок предлагает ультратонкие варианты для айфонов толщиной 0,5 мм. Например, imluckies Slide Metal  и Cimikz Webcam Cover Slide тоньше кредитной карты.

Обладатели iPhone 11 выберут Pehael Privacy Screen Protector с противоударным эффектом. А если у вас iPhone 11 Pro Max, достойным выбором станет Zuslab Privacy с защитным стеклом 9H tempered glass, которое считается не менее прочным, чем лезвие ножа.

Как защитить iOS от шпионов?

Последний уровень защиты iOS включает в себя настолько радикальные меры, что их впору применять, если вы подозреваете, что за вами шпионят.

1. Отключите GPS и Службы геолокации 

Полностью отключив функции навигации и службы геолокации, вы обеспечите собственную безопасность. Но теперь вам придется вручную вводить название локаций. Кроме того, опция «Найти мой iPhone» не сработает.

1. Приобретите «клетку Фарады» 

Клетка Фарады — это электрический изолятор, контейнер, не пропускающий электрические сигналы или волны.

Клетку Фарады обычно используют:

• полиция — чтобы предотвратить слежку онлайн, защитить гаджеты и убедиться, что к устройству нельзя подключиться удаленно;
• агентства, работающие с интеллектуальной собственностью, — чтобы защитить авторскую информацию и сенситивные данные;
• военные, а также организаторы антитеррористических операций —  чтобы избежать дистанционных взрывов самодельных взрывающихся устройств;
• эксперты в сфере кибербезопасности — чтобы скрыть данные от посторонних во время поездок, избежать корпоративного шпионажа, помешать злоумышленникам завладеть паспортами и банковскими картами.

Приобретая «клетку Фарады», убедитесь, что изолятор имеет пять защитных слоев: статический диссипативных полиэтилен, алюминий, полиэстер, снова алюминий, диссипативный полиэтиленовый полиэстер. 

1. Сотрите персональные данные с iPhone 

Чтобы удалить все персональные данные на Айфоне, зайдите в Настройки, выберите Apple ID и нажмите Sign Out (выйти).

1. Выключите дополнительную аналитику 

Чтобы не позволять Apple собирать данные о ваших предпочтениях и истории поиска, выберите секцию Аналитика и Улучшения. Выключите следующие опции:

• делиться анализом iPhone;
• улучшить Siri и диктовку;
• делиться с разработчиками;
• делиться анализом iCloud. 

1. Внимательно отнеситесь к выбору сотового провайдера 

О том, как важно изучить рынок и вопросы безопасности, прежде чем выбрать сотового провайдера, пользователи часто забывают. Но, учитывая, что сейчас большинство сотовых компаний предоставляют также Интернет-услуги, перед провайдерами открывается огромный массив персональной информации. Поэтому, если вы размышляете о том, как сохранить анонимность и конфиденциальность, нужно выбрать безопасного провайдера.

Главным критерием выбора остаются отзывы других пользователей. Кроме того, обратите внимание на следующие факторы:

• компания указывает безопасность как ведущую ценность;
• при оплате тарифного плана провайдер не запрашивает дополнительную информацию о вас, а даёт возможность просто оплатить с карты.