16 апреля стартовала международная конференция по безопасности RSA 2018. На одной из презентаций, представители Symantec сообщили о наличие опасной уязвимости под названием «Trustjacking». Проблема возникает при синхронизации iOS-устройств через iTunes по сети Wi-Fi. Она позволяет злоумышленникам контролировать и записывать действия на экране пользователя, а также внедрять вредоносное ПО.
Еще ранее у Apple были трудности в схожем отношении. В свое время, проблема была из-за USB-подключения к компьютеру, которое не требовало авторизации от пользователя, что предоставляло возможность злоумышленникам иметь доступ к конфиденциальной информации, получить личные данные с iOS-устройств, устанавливать вредоносное программное обеспечение и т.д.
Проблема в компании была решена - добавили всплывающие окно авторизации пользователя, где необходимо вводить пароль устройства. Также в истории Apple, заняла свое место уязвимость , именуемая, как «Videojacking». Возникала она при подключении поддельного зарядного устройства, которое позволяло перехватывать изображение с экрана iOS-устройства.
Это были две достаточно серьезные проблемы, однако они имели одно простое решение - отключение устройства от зарядки или подключения USB прерывало доступ злоумышленникам. Нынешняя обнаруженная уязвимость не может быть решена так просто, поскольку злоумышленник может осуществлять контроль за устройством даже в том случае, если оно уже не подключено к компьютеру (ноутбуку).
В настоящее время, при подключении iOS-устройства к ПК появляется всплывающее окно, спрашивающее: «Доверять этому компьютеру?». От пользователя требуется выбрать «Да» или «Нет» и ввести пароль от устройства. Таким образом, через компьютер можно получить полный доступ к данным человека: фотографиям, приложениям и т.д. Так же есть возможность активировать дополнительную функцию: «Синхронизация iTunes через Wi-Fi», которая предоставляет возможность поддерживать связь между гаджетами без физического подключения.
Синхронизация с помощью iTunes по сети WiFi - это достаточно удобная и весьма полезная функция, позволяющая взаимодействовать устройствам без постоянного физического подключения - достаточно один раз подключиться с помощью кабеля, а все последующие будут происходить автоматически, через беспроводные технологии.
Угроза Trustjacking заключена в тот момент, когда пользователь подключает зарядное устройство в кафе, ресторане, гостинице, аэропорте и других общественных местах, все, что ему достаточно это согласиться с тем, что «Доверяет этому устройству». В свою очередь, злоумышленник, без каких-либо проблем сможет включить синхронизацию iTunes через Wi-Fi. В этот момент уязвимость Trustjacking позволит, без каких-либо подозрений со стороны пользователя, дистанционно управлять (загружать фотографии, приложения, документы, сообщения и т.д.) и контролировать iOS-устройство жертвы, до тех пор, пока они будут подключены к одной сети Wi-Fi.
После заявления от Symantec, Apple выпустила патч для iOS 11, однако он по мнению специалистов безопасности не решает существующей проблемы. Поэтому одним из возможных и лучших решений для пользователя является очистка списка доверенных компьютеров (Настройки > Общее > Сброс > Сбросить местоположение и конфиденциальность), а так же не предоставлять доверие к устройствам во время зарядки в общественных местах (iOS-устройство будет заряжаться и без согласия, при этом риск скрытого наблюдения со стороны злоумышленников сводится к нулю).
