7 Apple-sikkerhedsbrud, hacks og fejl, du ikke vidste om

Apple er ikke fremmed for sikkerhedshændelser, hvad enten det er hacks, brud eller sårbarheder. Du er muligvis ikke opmærksom på disse forskellige problemer, og nogle kan stadig udsætte dig for risiko. Så hvilke Apple-hack, brud og sårbarheder har du brug for at vide om?

Apples hacks og brud

Apple har set sin rimelige andel af hacks gennem årene, hvor nogle er mere alvorlige end andre. Lad os starte med et hack, der fandt sted for over et årti siden.

1. XCodeGhost Hack (2015)

I 2015 blev 128 millioner iPhone-brugere ramt af et malware-baseret hack. Hackere brugte en ondsindet version af XCode, Apples udviklingsmiljø til alle dets operativsystemer, inklusive iOS. Med denne malware, kendt som XCodeGhost, lykkedes det hackere at kompromittere omkring 50 apps fra Apple App Store. De, der havde downloadet de berørte apps, var sårbare over for hacking, og omkring 500 millioner brugere blev vurderet til at være i fare på det tidspunkt.

Selvom dette enorme skøn viste sig at være lidt mindre i virkeligheden, afslørede dokumenter leveret under Apples retskamp med Epic Games, at 128 millioner individer stadig var berørt, inklusive 18 millioner brugere i USA (som rapporteret af Sikkerhedsanliggender).

Det, der er særligt kontroversielt ved denne hændelse, er, at Apple på det tidspunkt besluttede ikke at underrette risikobrugere om angrebet. Det tog yderligere seks år for offentligheden at blive opmærksom på den sande natur af hacket, som kom frem under den førnævnte Apple vs. Epic Games retssag.

  Sådan flyttes objekter i Photoshop til en bestemt position

2. Pegasus Spyware (2016 og frem)

Det berygtede Pegasus-spyware blev først lanceret i 2016, men kom til global fremtræden i 2021, da det blev brugt til at udnytte iOS i meget målrettede angreb. Pegasus er udviklet af den israelske NSO Group, en kontroversiel organisation, der har ramt sikkerhedsnyhedsoverskrifter mange gange tidligere. Regeringshackere bruger nu denne spyware til at begå deres egne cyberkriminalitet, så det er et velkendt navn for cybersikkerhedseksperter. Faktisk har NSO-koncernen solgt deres Pegasus-spyware til adskillige regeringer og stater, herunder Indien og Mexico.

I denne Apple-udnyttelse blev en iOS-sårbarhed misbrugt til at køre Pegasus-spyware på iPhones. An officielle Apple-erklæring forklarede, at funktioner som Lockdown Mode kunne bruges til at forsvare sig mod sådanne angreb, såvel som stærke adgangskoder og softwareopdateringer. Det blev også annonceret, at trusselsmeddelelser ville blive brugt til at advare brugere, som muligvis er blevet ramt af statssponsorerede angribere.

Tjek vores guide for at kontrollere, om din iPhone er inficeret med Pegasus, hvis du er bekymret over denne spyware.

3. SolarWinds (2021)

SolarWinds-angrebet rystede teknologi- og cybersikkerhedsindustrien i 2021, og Apple formåede ikke at undvige chokbølgerne.

Under SolarWinds-angrebet udnyttede hackere en iOS 14 zero-day kodesårbarhed til at infiltrere iPhones. Via fejlen brugte hackere ondsindede domæner til at omdirigere iPhone-brugere til phishing-websteder. Dette gjorde det igen muligt for angriberne at stjæle brugerlogin-legitimationsoplysninger, som derefter kunne bruges til enten at hacke konti eller sælge videre til andre ulovlige aktører på ulovlige markedspladser.

  Sådan rettes Netflix-fejl UI3010

4. Apple og Meta Data Breach (2021)

Den seneste Apple-sikkerhedshændelse fandt sted i midten af ​​2021, da Apple- og Meta-medarbejdere blev narret af hackere, der efterlignede retshåndhævende embedsmænd. Ved angrebet brød hackere først ind på de retshåndhævende myndigheders konti og netværk og sendte derefter falske, hastende dataanmodninger til ansatte hos de to teknologigiganter og opfordrede til et hurtigt svar. Som svar på denne tilsyneladende officielle anmodning blev brugernes IP-adresser, hjemmeadresser og kontaktnumre angivet.

Det er vigtigt at bemærke, at Apple og Meta-personalet ikke gav oplysninger på grund af en tilfældig anmodning. Legitime politisystemer blev hacket af angriberne for at sende anmodningen, hvilket gjorde det svært at opdage.

Apples sårbarheder

Apples forskellige softwareprogrammer, inklusive dets operativsystemer, kan blive ofre for kodesårbarheder. Så hvad skal du være opmærksom på?

1. Kernel- og WebKit-sårbarheder (2022)

I august 2022 annoncerede Apple, at de havde fundet en kernesårbarhed (officielt kendt som CVE-2022-32894), der tillod udførelse af vilkårlig kode med kernerettigheder. Apple patchede CVE-2022-32894 med macOS Monterey, så hvis du manuelt har installeret denne opdatering eller bruger en nyere macOS-version end Monterey, burde du være klar.

Sammen med denne sårbarhed blev der også opdaget en Apple WebKit-fejl. Denne fejl løb også risikoen for vilkårlig kodeudførelse som følge af ondsindet webindhold. Ligesom den førnævnte sårbarhed er WebKit-fejlen til macOS Monterey for længst rettet.

2. Blastpass-sårbarheder (2023)

I september 2023 blev to nul-dages Apple-sårbarheder opdaget for at være blevet brugt af angribere. Sårbarhederne, kendt officielt som CVE-2023-41064 og CVE-2023-41061i sin iOS-software.

  11 bedste software og onlineværktøjer til at flette videoer

CVE-2023-41064 var en bufferoverløbssårbarhed, der tillod vilkårlig kodeudførelse og kunne påvirke alle iPhones model 8 og nyere, der kører iOS version 16.6 eller nyere. Visse iPad-modeller kunne også være målrettet via denne fejl. CVE-2023-41061, opdaget kort efter den første af de to fejl, var et valideringsproblem, der kunne misbruges gennem ondsindede vedhæftede filer.

Når de blev brugt samtidigt, dannede disse to sårbarheder en udnyttelseskæde kendt som Blastpass og udgjorde en del af leveringskæden for NSO Groups Pegasus spyware, som rapporteret af Borgerlaboratoriet. Blastpass kan bruges til at hacke iPhones og iPads, uden at offeret overhovedet behøver at interagere med ondsindede websider eller kommunikation. Disse er også kendt som nul-klik sårbarheder.

Men ved at bruge Apples låsetilstand kan kæden stoppes i sine spor, hvilket forhindrer den i at inficere din enhed. Der er også en patch tilgængelig for de to sårbarheder, der bliver udnyttet.

3. Funderingssårbarheder (2023)

I begyndelsen af ​​2023 kom tre Apple-zero-day-sårbarheder frem, som satte adskillige Apple-operativsystemer i fare, herunder iOS, iPadOS og macOS. To af sårbarhederne blev fundet inden for Apples Foundation-ramme, som giver basisniveauet for funktionalitet og interoperation for Apple-apps. Disse tre sårbarheder, kendt som CVE-2023-23530, CVE-2023-23531og CVE-2023-23520gav angribere mulighed for at udføre ondsindet kode eksternt på inficerede enheder.

I februar 2023 lappede Apple de tre sikkerhedsfejl, så du bør ikke længere være udsat for dem, hvis du har opdateret din Apple-enhed regelmæssigt.

Apple er ikke uigennemtrængelig for hacks og sårbarheder

Apples software og hardware er yderst sikker, men du kan stadig løbe ind i risici og cyberangreb som Apple-bruger. Uanset om du bruger en Apple-telefon, -tablet, -computer eller et ur, skal du aldrig gå ud fra, at du er uigennemtrængelig for sikkerhedsproblemer. Det er altid bedst at holde sig ajour med de seneste Apple-sårbarheder, hacks og brud, så du bedre kan beskytte dig selv og forberede dig på fremtidige hændelser.