קרדיט: תמונות getty, מרוכב שניתן למעוך
אם עדיין לא עשית זאת, עבור ועדכן את האייפון, האייפד או ה-iPod touch לiOS 9.3.5כרגע. כדי לעדכן, עבור אלהגדרות > כללי > עדכון תוכנה.
זה אולי לא נראה דחוף כי זה רק "שחרור נקודתי", אבל העדכון הוא קריטי או שאתה מסתכן בכך שכל הנתונים שלך ייגנבו בחשאי על ידי תוכנה זדונית בלתי נראית שיכולה להתקין את עצמה במכשיר שלך ואפילו להסיר את עצמה מבלי להשאיר עקבות.
ראה גם:
שני דיווחים מהניו יורק טיימסולוח אםשפורסם ביום חמישי פירט כיצד שלושה חורי אבטחה גדולים, שתוקנו באמצעות העדכון, יכולים להיות מנוצלים על ידי האקרים כדי לעקוב ולגנוב כמעט את כל הנתונים הפרטיים במכשיר ה-iOS שלך.
לפי שני הדיווחים, אחמד מנסור, פעיל זכויות אדם מאיחוד האמירויות הערביות, גילה את הפגיעות כשקיבל הודעת טקסט חשודה עם קישור שהיה מספק "סודות חדשים על עינויים של האמירויות בבתי הכלא של המדינה".
לו מנסור היה לוחץ על הקישור, הוא היה מופנה לאתר שהיה מנצל את כל שלושת פרצות האבטחה ומתקין תוכנות זדוניות על האייפון שלו, ומעניק להאקרים מרוחקים גישה מלאה למכשיר שלו.
למרבה המזל, מנסור לא לחץ על הקישור. במקום זאת, הואהתריע אזרח מעבדה, מעבדה בין-תחומית המבוססת בבית הספר לעניינים גלובליים של מונק באוניברסיטת טורונטו, הממקדת את מחקריה בהצטלבות של זכויות אדם וביטחון.
התוכנה הזדונית נכנסת מיד ברגע שהיא מופעלת ומתחילה לחטט בכל הנתונים של האייפון שלך.
Citizen Lab זיהתה את הקישור כשייך ל-NSO Group, חברת "מלחמת סייבר" שבסיסה בישראל בבעלות חברת ההון סיכון האמריקאית Francisco Partners Management, המוכרת פתרונות ריגול לסוכנויות ממשלתיות.
יחד עם מחקרים נוספים של חברת אבטחת סייברתַצְפִּית, נחשף ששלושת המנצלים (המכונה "טריידנט") הם ברמת "אפס יום", כלומר התוכנה הזדונית מתחילהמִיָדברגע שהוא מופעל (במקרה זה, ברגע שהקישור נפתח, התוכנה הזדונית מתקין את עצמה אוטומטית ומתחילה לעקוב אחר הכל).
"לאחר שנדבק, הטלפון של מנסור היה הופך למרגל דיגיטלי בכיס שלו, המסוגל להשתמש במצלמה ובמיקרופון של האייפון שלו כדי לחטט אחר פעילות בקרבת המכשיר, להקליט את שיחות הוואטסאפ והוויבר שלו, לרשום הודעות שנשלחו באפליקציות צ'אט לנייד, ומעקב אחר תנועותיו", כותבים ביל מרצ'ק וג'ון סקוט-ריילטון, שני חוקרים בכירים במעבדת Citizen Lab.
לפי Lookout, התוכנה גמישה מאוד וניתן להגדיר אותה במספר דרכים כדי למקד למדינות ואפליקציות שונות:
יכולות הריגול כוללות גישה להודעות, שיחות, מיילים, יומנים ועוד מאפליקציות כולל Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, WeChat, SS, Tango ואחרים. נראה שהערכה נמשכת גם כאשר תוכנת המכשיר מתעדכנת ויכולה לעדכן את עצמה כדי להחליף בקלות ניצולים אם הם מתיישנים.
עם הגילוי, שני הארגונים הודיעו מיד לאפל ויצרנית האייפון התחילה מיד לעבוד על iOS 9.3.5, ששוחרר ביום חמישי.
מהירות אור ניתנת לריסוק
למרות ש-Trident וסוג התוכנה הזדונית ש-NSO מוכרת (הנקראת "פגסוס") משמשת בעיקר על ידי ממשלות כדי למקד מתנגדים, פעילים ועיתונאים במדינות הפכפכות כמו איחוד האמירויות הערביות, מקסיקו, קניה, מוזמביק, תימן וטורקיה, ניתן להשתמש בו כדי למקד לכל מכשיר iOS.
עצם הרעיון של גניבת כל הנתונים שלך ללא כל מאמץ אמיתי אמור להפחיד את כולם לעדכן את מכשירי ה-iOS שלהם.
מכיוון שהפקדנו על הסמארטפונים והטאבלטים שלנו יותר ויותר מהנתונים האישיים שלנו, חשוב יותר מתמיד להפעיל את התוכנה העדכנית ביותר עם תיקוני האבטחה העדכניים ביותר למניעת ריגול דיגיטלי וגניבה.
מהיר יותר להגן על iOS מאשר אנדרואיד
עברו 10 ימים עד שאפל שחררה עדכון לסגירת החורים לאחר ש-Citizen Lab ו-Lookout התריעו בפני החברה.
עשרה ימים אולי נראים כמו זמן רב, אבל כאשר אתה משווה את זה לכמה זמן ייקח למכשירי אנדרואיד להתעדכן עבור תיקון כל כך קריטי, זה כמו מהירות יתר.
אחד היתרונות של iOS הוא התוכנה והחומרה המשולבים בהדוק. מכיוון שיש פחות מכשירים וכולם מריצים את אותה תוכנת ליבה, אפל יכולה לבדוק ולפרוס עדכוני אבטחה במהירות ובקלות עם פחות סיכויים שמשהו ישתבש.
אנדרואיד, לעומת זאת, מקוטעת לתוךעשרות אלפיםשל מכשירים שונים, ומותאמים ביותר מדי גרסאות כדי שאפילו חובב האנדרואיד המושבע ביותר יזכור. זה הופך את זה למאתגר ביותר עבור יצרני טלפונים לבדוק ולשחרר עדכונים כדי לסתום חורי אבטחה מסוכנים במהירות.
מכשירי Nexus של גוגל מהירים יותר לקבל עדכוני תוכנה מכיוון שכולם מריצים אנדרואיד מלאי וגוגל יכולה לדחוף אותם החוצה בצורה דומה לאפל. כנ"ל לגבי סמסונג וטלפונים גלקסי שלה.
אבל לעתים קרובות יש תמריץ קטן ליצרני טלפונים אנדרואיד לעדכן את המכשירים שלהם. תחזוקת התוכנה יקרה וזו הסיבה שתראה מכשירי אנדרואיד רבים של מותגים פחות מוכרים או מעדכנים את הטלפונים שלהם חודשים או שנים מאוחר יותר או אף פעם לא.
אף פלטפורמה לא מאובטחת באמת
הפרסום של פגמי האבטחה ועד כמה חמור זה עלול להיות אם תיפול קורבן מזמין שיחה נוספת: הצגה תקשורתית.
אנדרואיד נושאת בנטל כשזה מגיע להצטייר כפלטפורמה הפחות מאובטחת, אבל כפי שהגילוי הזה חשף, לא משנה איזו פלטפורמה באמת מאובטחת יותר,כֹּלפלטפורמות רגישות להאקרים.
אבטחה היא קרב מתמשך ובלתי נגמר בין יצרניות טלפונים כמו אפל וגוגל לבין האקרים. זהו משחק מתמיד של חתול ועכבר שבו כל צד תמיד צעד אחד לפני או מאחורי השני.
אילו מנסור לא היה מתריע על Citizen Lab, ניצול הטריידנט היה ממשיך להתקיים מבלי שאף אחד ידע. Lookout מאמין שהתוכנה הזדונית קיימת מאז iOS 7. התוכנה הזדונית Pegasus של קבוצת NSO יכולה לשמש גם כדי למקד למכשירי אנדרואיד ובלקברי.
אף על פי ששום פלטפורמה לעולם לא תהיה מאובטחת באמת, עדכון לגרסה העדכנית ביותר של תוכנת הטלפון שלך הוא הדרך הטובה ביותר להישאר בטוחה.
ריימונד וונג הוא הכתב הטכנולוגי הבכיר של Mashable. הוא סוקר גאדג'טים וצעצועים טכנולוגיים ומנתח את תעשיית הטכנולוגיה. ריימונד הוא גם קצת חנון מצלמה, גיימר וחובב שוקולד משובח. לפני שהגיע ל-Mashable, הוא היה סגן העורך של הפרסום הטכנולוגי של NBC Universal DVICE. הכתיבה שלו הופיעה ב-G4TV,BGR, יאהו ואוברגיזמו, אם להזכיר כמה. אתה יכול לעקוב אחר ריימונד בטוויטר@raywongyאו אינסטגרם@לימון חמוץ.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.