iOS 16, iPadOS 16, macOS Ventura – zobacz nowe funkcje bezpieczeństwa i prywatności

16 września, 2022

Do smartfonów Apple, tabletów (iOS 16, iPadOS 16) i laptopów z macOS Ventura dodano nowe funkcje bezpieczeństwa. Pierwszą z nich jest tzw. (1) „tryb blokady” lub „tryb ograniczenia ataków”. Drugą ważną zmianą są (2) nowe automatyczne aktualizacje – dla całego oprogramowania iOS oraz szybki update w celu instalowania łatek bezpieczeństwa. Trzecią nowością są tzw. (3) Apple Passkeys, które wprowadzają możliwość zrezygnowania z tradycyjnych haseł, lecz wymaga to współpracy wszystkim firm na świecie, które tworzą usługi i oprogramowania internetowe. Ostatnią nowością jest tzw. (4) Kontrola Bezpieczeństwa (Safety Check), która wprowadza możliwość odcięcia dostępu aplikacjom i urządzeniom podpiętym do tego samego konta użytkownika w przypadku awaryjnej sytuacji.

1. iOS 16 – ochrona przed atakami zero-click

Pierwszą nowością jest specjalny tryb blokady, który aktywuje się w „Ustawienia -> Prywatność i ochrona -> Tryb blokady”:

ios 16 tryb blokady

Będziemy go nazywać „trybem hardeningu” albo „trybem zwiększonego bezpieczeństwa”. Funkcję można aktywować w dowolnym momencie i od tego momentu zwiększy się ochrona przed atakami celowanymi, którym poddawani są m.in. politycy, aktywiści i dziennikarze: świadczy o tym szpiegowskie oprogramowanie Pegasus Project – w 2020 r. wyciekła lista zawierająca około 50000 nazwisk i numerów telefonów osób, które rzekomo zostały (lub mogły zostać) zaatakowane przy użyciu oprogramowania szpiegującego opracowanego przez NSO Group. Wśród ofiar byli polscy politycy oraz prokuratura. Izraelska firma od dawna jest krytykowana za „legalny” rozwój narzędzi hakerskich dla klientów, do których należy wiele agencji wywiadowczych na całym świecie.

„To nieprawdopodobne, że coś takiego powstało” – eksperci o najnowszych exploitach Pegasus.

„Pegasus: jak się chronić i zabezpieczyć smartfon?” – porady bezpieczeństwa.

Apple wyjaśnia, że włączenie tego trybu sprawi, że telefon uruchomi się ponownie, a pewne funkcje smartfonu przestaną działać, tak jak do tej pory:

  1. Wiadomości tekstowe w iMessage nie będą zawierały linków (obrazki oraz tekst pozostaną).
  2. Przeglądarka Safari będzie miała wyłączoną obsługę Java Script – nadal można dodawać strony do wyjątków.
  3. Połączenia przychodzące za pośrednictwem usług Apple będą blokowane, jeżeli wcześniej nie wychodziły z Twojego telefonu np. przez FaceTime.
  4. Zablokowanego iPhone nie da się sparować z komputerem przez kabel USB.
  5. Urządzenia nie można zarejestrować w usłudze Mobile Device Management wykorzystywanej w firmach.
 

Podsumowując pierwsze trzy opcje mają na celu ograniczyć ryzyko ataków zero-click np. w wyniku działania szpiegowskiego malware’u, jakim jest Pegasus, jak również zablokuje to przychodzące rozmowy wideo.

Czwarty punkt ograniczy ryzyko kradzieży informacji z telefonu przy próbie podłączenia do komputera i wykorzystania luki w protokole komunikacyjnym.

Ostatnia funkcja uniemożliwi podłączenie smartfonu do systemu MDM. Firmy często używają tego rodzaju rozwiązania do celów bezpieczeństwa, aby usuwać informacje z zagubionego telefonu, jednak sparowanie iPhone, iPad, laptopa macOS z MDM również może być wykorzystane do kradzieży danych, ponieważ daje to administratorowi MDM pełną kontrolę nad urządzeniem. Takie  ataki się zdarzały [ link1, link2 ].

Trzeba też nadmienić, że Apple utworzyło kolejny etap w Apple Security Bounty – oferuje do 2 milionów dolarów za znalezienie luki w zabezpieczeniach w aktywowanym utwardzonym trybie.

Apple zaleca używanie tego trybu osobom, które czują się inwigilowane oraz mogą być narażone na ataki ukierunkowane.

Zaraz, zaraz – czy to znaczy, że iPhone bez „trybu blokady” jest mniej bezpieczny?

Trochę tak, ale to wynika z paranoicznych nowych funkcji bezpieczeństwa, które utrudniają korzystanie ze smartfonu w normalny sposób. Bądźcie pewni, że smartfony Apple są bezpieczne, lecz zawsze ktoś znajdzie metodę oszukania ochrony.

Dla przykładu informacje biometryczne dotyczące odblokowania telefonu (TouchID, FaceID) są przechowywane tylko na urządzeniu i nie są wysyłane na serwer Apple oraz pozostają w pamięci telefonu szyfrowane. Kod PIN do odblokowania telefonu nie może być złamany metodą brute-force, ponieważ po kilku błędnych próbach urządzenie zostaje zablokowane. Aplikacje działają w piaskownicy i nie mogą uzyskiwać dostępu do danych przechowywanych przez inne aplikacje.

Na pewno przełamywania zabezpieczeń iPhone z roku na rok staje się coraz trudniejsze, więc dla większości użytkowników taki poziom bezpieczeństwa jest więcej niż wystarczający.

Starsze urządzenia Apple nadal otrzymują aktualizacje nowych funkcji oraz bezpieczeństwa, czego nie można powiedzieć o użytkownikach Androidów.

2. Nowe automatyczne aktualizacje w iOS 16 i Rollback

Nową funkcją w aktualizacjach jest „Rapid Security Response” (Pilne uaktualnienia i pliki systemowe) – aktywowanie tego trybu ma sprawić, że zezwalasz na automatyczne instalowanie łatek bezpieczeństwa / ważnych błędów, bez czekania na pełną aktualizację iOS. Będzie też możliwość cofnięcia zmian (rollback) wybranych aktualizacji.

nowe aktualizacje ios 16

3. Będzie mniej haseł i prawdziwe „passwordless”

Termin „passwordless” jest poruszany okazjonalnie na łamach AVLab. Do najważniejszych firm w Polsce, jako prekursorów tego kierunku uwierzytelniania i autoryzacji ulepszonego typu, zaliczamy Cyberus Labs oraz Secfense. Ten standard logowania już przecież nie jest nowy, ale za sprawą Apple od iOS 16 ma większą szansę by upowszechnić się w domach i w firmach. Dlaczego zatem założycielom FIDO Alliance – ani Microsoftowi ani Google, nie udało się tego zrobić wcześniej? I dlaczego o tzw. „passwordless” słyszeli chyba tylko dziennikarze IT oraz ludzie tworzący bezpieczeństwo?

Ponieważ, aby logować się w ten sposób, musisz to włączyć, rejestrując wcześniej po staremu konto online – „podaj maila -> utwórz login > utwórz hasło-> zaloguj się -> włącz dwustopniowe logowanie -> dodaj urządzenie lub klucz bezpieczeństwa”.

Tymczasem Apple podczas zakładania nowego konta online na urządzeniach macOS, iOS, iPadOS i podaniu loginu oraz dodatkowych danych np. imienia, nazwiska oraz maila, będzie generowało od razu parę kluczy publiczny-prywatny, zamiast używania tradycyjnego hasła – trzeba będzie skorzystać z TouchID lub FaceID, aby potwierdzić rejestrację. Zatem teraz bezpieczeństwo logowania będzie bazować na kryptografii klucza publicznego a Apple nazywa to Passkey.

Brzmi poważnie? Zdecydowanie! Pisaliśmy o tym szczegółowo w tym artykule.

4. Kontrola bezpieczeństwa – Emergency Reset

Ostatnią opisywaną funkcją jest „kontrola bezpieczeństwa”. Jest to coś w rodzaju sprawdzenia (check list), które aplikacje mają dostęp do Twoich danych z ekosystemu Apple w wyniku podłączenia i sparowania urządzenia z kontem użytkownika w Apple iCloud. Jest też dostępny tzw. reset awaryjny, który natychmiast odłącza wszystkie aplikacje i wybrane urządzenia (zalogowane do usługi Apple) od zgromadzonych przez Ciebie danych osobistych. Użycie tego trybu pozwala też na wybór, czy chcesz zresetować identyfikator Apple ID oraz hasło to konta.

Nowy tryb znajduje się w „Ustawienia -> Prywatność i ochrona -> Kontrola bezpieczeństwa”:

kontrola bezpieczenstwa ios 16
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 5 / 5. Liczba głosów: 8

Jak na razie nikt nie podzielił się opinią.

Subscribe
Powiadom o
guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]