Apple iOS ja OS X väga tõsised turvaprobleemid

Apple turvalisusega on köögaKuus ülikooli teadurit avastasid Apple’s iOS ja OS X tõsine turvaprobleem. Nad väidavad, et on suutnud nakatatud arvuti/telefoni turvasüsteemid täielikult lammutada, saada ligipääsu kõikidele salasõnadele ja krüpteerimises kasutatavatele võtmetele, murda välja rakenduste nn liivakastidest mis peaks neid hoidma operatsioonisüsteemist eraldatuna ning minna mööda App Store turvameetmetest.

Testiks kirjutatud pahavaraga lipsati läbi Apple App Store tarkvara turvalisust kontrollivatest protseduuridest. Nakatunud telefonis suudeti varastada kõikide teenuset salasõnad, kaasa arvatud iCloud ja Mail app, ning lisaks salasõnad, mis olid säilitatud Google Chrome’is.

Apple on sellest teadlik olnud juba kuus kuud (6) kuid oli palunud tedlastel oma avastusest vaikida.

Väidetavalt on kõik need turvaaugud siiani Apple iOS ja OS X olemas.

Apple CORED: Boffins reveal password-killer 0-days for iOS and OS X

7 arvamust “Apple iOS ja OS X väga tõsised turvaprobleemid” kohta

  1. Windows 10 kõikidel platvormidel ja enam uusi väljalaskeid ei tule, välja arvatud turvaparandused ja uuendused.
    Lõpuks võeti kuulda, et kogu energia tuleb panna turvaparandustele. Milleks meile windows 12 kui 10 on kõikidel platvormidel?

    Arendagem uut:
    http://www.helenos.org/

    Microsoft võiks uuendada windows 10 helenos peale ja apple mac os x ja ios samuti!

    • HelenOS on õppeprojektina ja uurimis-projektina kindlasti asjalik, aga kui eesmärgiks ei ole mingeid uudseid operatsioonisüsteemi arvutiteaduslikke küsimusi uurida ja nende praktilist väärtust kontrollida (valideerida), siis ma pigem vaataksin L4-projekti poole, mis väidetavalt on ka läbinud automaat-analüüsi. Pealiskaudse katsetamise põhjal saan väita, et väidetavalt GNU Match nimelise mikro-kernelipõhine GNU Hurd annab konsoolirea ilust kätte. Ka arvan, et Jonathan Shapiro artikkel selgitusega, miks C-le iseloomulikud “ohtlikud” programmeerimiskeele võimalused on operatsioonisüsteemide programmeerimisel hädavajalikud ja põhimõtteliselt elimineerimatud, on väärt lugemine. Minu enda 2015_07 kokkuvõte tollest artiklist on, et mälu manuaalne allokeerimine ja de-allokeerimine on osade madaltaseme komponentide kirjutamisel koodi efektiivsuse jaoks hädavajalik ning selle asemel, et teha kompromiss koodi efektiivsuse osas, tasub panustada koodi automaat-analüüsile, verifikatsioonile, mis vastavad vead koodis matemaatiliselt garanteeritult elimineerib.

      C koodi automaat-analüüsiga seonduvaid võtmefraase ajahetkel 2015_07: frama-c koos Jessie-nimelise pluginaga(mis pidavat kokku võimaldama ADA-sarnast eel-tingimuste ja järel-tingimuste kasutamist), mbeddr kui CBMC abil turvalist C koodi kirjutada võimaldav töövahend, Wolverine kui järjekordne C ja C++ formaalse analüüsi töövahend.

      Kunagi arvasin, et Ada’s kirjutatud MaRTE_OS võiks olla lahendus turvalise rakendusserveri loomiseks, kuid kuna ainuke mõistlik Ada kompilaator on GPL‘i all oleva Ada stdlib’iga, siis ei saa MaRTE_OS’i praktikas, äris, kasutada. Klientidele ei saa peale suruda, et nad pevad kogu oma koodi-baasi GPL’i alla panema, millest siis ka minu eelistus kasutada oma avatud tarkvaral BSD-litsensi. Kunagi kasutasin MIT-litsensi, mis erineb BSD-litsensist selle poolest, et seal nõutakse tarkvara kasutajatelt tarkvara autoritele viitamist, tasuta reklaami, aga siis jõudsin mõttele, et akadeemilise hea tava, kasutatud materjalide autoritele viitamist, nõudmine ei ole palju tahetud. Praktikas mul pole nii kui nii võimalik kohtus kuskil mingeid nõudmisi esitada, sest see läheks mulle liiga kalliks ja aja-kulukaks, rääkimata siis asjaolust, et minu kui anarhisti jaoks ei näi repressiivse partokraatia korrupeerunud all-asutuse, kohtu, bürokraatidelt kättemaksu lunimine just kuigivõrd väärikas tegu olevat, et mitte öelda, ma olen tegelikult tagatipuks ka veel arvamusel, et “karistus” kui kättemaks erineb “kuriteost” vaid selle poolest, et see on ajaliselt teises positsioonis ja kätte-maksmine on sisuliselt olukorra muutmine selliseks, kus “pada sõimab katelt”. Kättemaksust hoidumine ei tähenda veel seda, et probleemid tuleks lahendamata jätta. Probleemide efektiivse lahendamise käigus võib, minu subjektiivse maitse kohaselt, kasutada ka hullemaid meetodeid kui kättemaksuks “piisaks”, kuid enamasti piisab ehk vähemast ja super-mafia represioonide määramis-süsteem, üldnimetusega “kohtusüsteem”, tegeleb vaid kätte-maksude ja repressioonide määramise, mitte lahenduste leidmisega.

      Eriti ilmekas näide super-mafia represioonide-määramis-süsteemist on USA “ekspordi-keelud”, kus tor’iga või turistina mõnes lääne hotelli WiFi-võrgus on võimalik lääne avalikelt lehekülgedelt alla laadida mida iganes, kuid krüpto-teekide ja mõnikord ka muude suhteliselt sügav-tehniliste projektide allalaadimislehele on kirjutatud, et “Te ei tohi siit alla-laetavat tarkvara eksportida Iraani, Süüriasse, blablabla.” Tegu on ilmselgelt ekspordi-takistust tekitava kohaliku super-mafia represiooniga, mis on suunatud vaid tolle super-mafia piirkonna kohalikule elanikkonnale, sest spioone ja teisi super-mafiaid ei takista need keelud karva-võrdki ning kes juba nii tark on, et mingi tarkvara-teegi vastu üldse huvi tunneb, see on juba ka piisavalt tark, et neist “ekspordi-piirangutest” ülihõlbsalt mööda minna. Üldse, mis “ekspordi-piirangutesse” puutub, siis need on vaid kohaliku elanikkonna, eksportivate äriajajate, represseerimiseks, sest äriajaja ei soorita turu tingimustes teise osapoolega tehingut vastu oma tahtmist ning misikit ei takista supermafiapiirkondade A ja B vaheliste “ekspordipiirangute” ja “impordipiirangute” tingimustes importida-eksportida kaupa supermafia C piirkonda ja sealt siis edasi/tagasi A-sse või B-sse. A la kui EU-st on Putin toidu-impordi ära keelanud, saab eksportida Aafrikasse ja Aafrikast Venemaale. Globaalne majandus ju ning laevad ju seilavad.

  2. Ei ole insenerid võimelised konstrueerima kasutuskõlblikku odavat lukku, mida keegi ei oskaks lahtu murda. Iga asi on turvaline seni kuni seda kasutab piisavalt väike hulk inimesi. Kui tahate absoluutset turvat, treenige oma mälu, arvutusoskust ja käekirja. Täiesti turvalised, tõsi, kui midagi ära ununeb või segamini läheb saab ainult iseennast süüdistada.

Kommenteerimine on suletud