Apple a úniky dat: plná časová osa, včetně roku 2022

Když se řekne Apple, drtivá většina lidí si představí důraz na bezpečnost. Na jeho operačních systémech se malware moc nenachází, spíše sporadicky. Rok 2022 ale nebyl pro Apple v tomto ohledu skvělým obdobím. Proč? 

12. září 2022, Apple vydal sadu bezpečnostních aktualizací, které opravily nově identifikované tzv. „zero day“ zranitelnosti ve všech zařízeních. Společnost uznala, že bezpečnostních děr mohli využít právě hackeři, více ale nebylo řečeno. Níže se proto podíváme na úplnou historii bezpečnostních děr Applu, počínaje těmi nejnovějšími. 

Září 2022: Aktualizace řeší chyby v zabezpečení Zero-Day

Konkrétně 12. září 2022 Apple vydal bezpečnostní opravy, které měly chránit zařízení před nově identifikovanými zero day zranitelnostmi. Mezi dotčená zařízení patří Mac, iPhone, iPad a další. V roce 2022 se jednalo o osmou dosud zjištěnou zranitelnost. Apple neuvedl, zda těchto chyb někdo zneužil. 

Zdroj: American Banker

Srpen 2022: Apple identifikoval a opravil dvě bezpečnostní chyby

17. srpna Apple vydal aktualizaci, která měla iOS, iPadOS a macOS chránit před dvěma bezpečnostními chybami: jednou ve WebKitu, který je základem Safari a dalších aplikací, a další v jádru samotného operačního systému.

Zdroj: PCMag

Podle společnosti by zranitelnost Webkit mohla umožnit škodlivým webovým stránkám spouštět kód na zařízení. Tahle chyba operačního systému by potenciálně mohla umožnit škodlivé aplikaci „spouštět libovolný kód s privilegii jádra“, což jí dává širokou moc nad infikovaným zařízením. Apple přiznal, že si byl vědom zprávy, že tento problém mohl být aktivně zneužíván hackery, ale nezacházel do větších podrobností. Naštěstí se zdá, že bezpečnostní záplata vše vyřešila. Chcete-li zajistit, aby byla vaše zařízení bezpečná, přejděte do nastavení, zkontrolujte aktualizace a v případě potřeby zařízení aktualizujte.

Září 2021: Izraelský spyware kompromituje Apple zařízení

V září 2021 výzkumníci zjistili, že spyware zvaný Pegasus infikoval iPhony a další zařízení Apple prostřednictvím „využívání nulového kliknutí“, což spywaru poskytlo širokou moc nad zařízením uživatele. Jakmile byl infikován, mohl spyware nahrávat hovory a zprávy, a dokonce zapnout kameru a mikrofon zařízení, aniž by o tom uživatel věděl. 

Zdro: World News

Pegasus vyrobila NSO Group, izraelská společnost, která prodává svůj spyware vládám, jako je Mexiko a Saúdská Arábie. Ačkoli by tento spyware byl pravděpodobně použit k sledování teroristů a zločineckých podniků, tyto vlády jej také využily ke špehování aktivistů, politiků a novinářů. 

Od 13. září 2021 Apple chybu opravil. Bitva mezi legitimními společnostmi a vývojáři spywaru, jako je NSO Group, je neustálá – s dobře financovanými společnostmi, jako je tato, si nikdy nemůžete být jisti svým soukromím. Aktualizujte, aktualizujte a znovu aktualizujte! 

Leden 2019: Google objevil Data Exploit v iPhonech

V lednu 2019 výzkumníci z Googlu objevili zneužití dat, které ovlivnilo neznámý počet iPhonů. Prostřednictvím tohoto „exploitu“ by se zařízení mohla nakazit monitorovacím spywarem jednoduše tím, že by uživatelé na svém iPhonu navštívili nesprávnou webovou stránku. Odtud měli hackeři přístup ke všemu – od hesel přes adresář až po historii zpráv.

Jakmile byla tato chyba odhalena, výzkumníci Googlu ihned problém nahlásili Applu. Bezpečnostní záplata přišla do deseti dnů. Není jasné, kolik iPhonů bylo zasaženo. Podle Applu trvalo zneužití pouze dva měsíce a ovlivnilo úzkou skupinu uživatelů, nasazených „méně než tuctem webových stránek, které se zaměřují na obsah související s ujgurskou komunitou“.

Září 2015: Malware XcodeGhost ohrozil 128 milionů uživatelů iPhone

V roce 2015 skupina hackerů připravila svou vlastní škodlivou verzi Xcode, nástroj pro vývoj aplikací pro iOS a OS X. Napadená verze XcodeGhost obsahovala malware, který hackerům poskytl informace o zařízení, včetně jeho jedinečného identifikátoru. XcodeGhost používali vývojáři aplikací, většinou v Číně, k vývoji nejméně 4 000 aplikací. Když si uživatelé stáhli infikované aplikace z App Store, jejich zařízení byla okamžitě ohrožena. Chyba postihla 128 milionů uživatelů iPhone, včetně 18 milionů ve Spojených státech.

Zdroj: MacRumors

Apple tehdy dotčeným uživatelům iPhonu nesdělil rozsah narušení. O tom se vedly interní diskuse, ale nakonec Apple odmítl informovat ty, kterých se to týkalo. Rozsah porušení vyšel najevo až v květnu 2021 jako součást soudního sporu Epic Games proti společnosti Apple.

Srpen 2015: KeyRaider Malware krade data z 225 000 jailbreaknutých iPhonů

KeyRaider, forma malwaru, která se zaměřovala na jailbreaknuté iPhony, poskytla útočníkům přístup k přihlašovacím údajům, soukromým klíčům, certifikátům a potvrzením o online nákupech od přibližně 225 000 uživatelů iPhonů. To útočníkům umožnilo provádět neoprávněné nákupy a používat tyto přihlašovací údaje k přístupu k osobním údajům.

Malware zasáhl pouze zařízení s jailbreakem. Ačkoli velikost narušení z něj činí jeden z největších, který má dopad na zařízení Apple, tahle konkrétní chyba se týkala pouze uživatelů, kteří na svých zařízeních provedli změny, které nebyly přísně autorizovány společností Apple.

Září 2014: Při chybě na iCloudu unikly stovky nahých fotografií celebrit

V září 2014 skupina hackerů narušila desítky účtů celebrit na iCloudu tím, že kompromitovala jejich přihlašovací údaje. Odtud ukradli stovky nahých fotografií a zveřejnili je na online fóru 4chan. Apple popřel, že by byl hacknut i samotný iCloud, a uvedl, že tento útok byl výsledkem porušení hesel a bezpečnostních otázek.

Zdroj: Mirror Online

Ze všeho, co můžeme říci, se zdá, že šlo o spear phishingový útok: útočníci se zaměřili na konkrétní lidi a vynaložili společné úsilí, aby získali jejich přihlašovací údaje, aby se mohli nabourat do jejich soukromých účtů. To neznamená, že Apple nemá žádný podíl na odpovědnosti za incident. Po útoku Apple posílil zabezpečení přihlášení do iCloudu a vyžadoval dvoufaktorovou autentizaci, aby se předešlo budoucím porušením tohoto charakteru.

Červenec 2013: iOS Dev Center hacknutý, zassaženo 275 000 vývojářů

Přestože toto narušení dat nemělo přímý dopad na spotřebitele, odhalilo data přibližně 275 000 registrovaných vývojářů třetích stran využívajících vývojářský portál Apple. Jména a ID vývojářů byly viditelné poté, co útočník zneužil chybu zabezpečení, a mohly být také odhaleny poštovní a e-mailové adresy.

Osoba, která se přihlásila k odpovědnosti za porušení, však tvrdila, že její úmysly nebyly zlovolné. Místo toho tvrdila, že jejich cílem bylo odhalit chyby, které by mohly být zneužity, a že vše, co objevila, nahlásila Applu, aby společnost mohla podniknout patřičné kroky. Osoba také uvádí, že poté, co upozornila technologického giganta na chyby, byl portál přepnut do režimu offline. Apple potvrdil, že do systému vstoupila neoprávněná osoba. Společnost dále uvedla, že mohly být odhaleny osobní údaje registrovaných vývojářů. 

Někteří vývojáři, kterých se to mohlo týkat, museli také provést resetování hesla. Přestože hesla nebyla nikdy explicitně uvedena jako odhalená, tento krok naznačuje, že podrobnosti o hesle mohly být buď viditelné pro útočníka, nebo byla zkopírována data související s heslem, i když není jasné, zda tomu tak bylo.

Srpen 2012: Bluetoad a únik 12 milionů Apple ID zařízení

V srpnu 2012 hackerská skupina AntiSec zneužila 12 milionů ID zařízení. Tvrdili, že tato data získali poté, co sebrali počítač agenta FBI v březnu 2012. Ukázalo se však, že tato ID zařízení neunikla FBI, ale společnost Bluetoad pro vývoj aplikací. V každém případě se nezdá, že by Apple hrál velkou roli v tomto konkrétním úniku dat – i když jeho zákazníci byli určitě postiženi.

Červen 2010: AT&T Breach odhalilo 114 000 e-mailových adres uživatelů iPadů

V červnu 2010 dva hackeři zneužili bezpečnostní chybu v telefonní síti AT&T a prostřednictvím útoku hrubou silou ukradli e-mailové adresy 114 000 uživatelů iPadu. Zdá se, že tato zranitelnost je plně v rukou AT&T – stalo se to prostřednictvím jejich sítě, nikoli prostřednictvím zařízení nebo služeb společnosti Apple.

Domů » Články » Apple a úniky dat: plná časová osa, včetně roku 2022

Zdeněk Koutský

Passionate Senior Editor at Dotekomanie.cz, where tech meets storytelling. Seasoned Sales Director, weaving technology into every success story, and relishing every moment of it!