Ključni izsledki
- Apple je izdal iOS 15.6.1 za odpravo dveh posebnih varnostnih težav.
- Poročanje osrednjih medijev spravlja ljudi v paniko večjo, kot je potrebno.
- Posodobitev je pomembna, vendar naj vas res ne skrbi glede težav, ki jih obravnava.
Čeprav nova posodobitev za iOS 15.6.1 ni tako kritična, kot se sliši v poročilih, jo boste vseeno želeli namestiti.
Applova nedavna izdaja iOS 15.6.1 vključuje dve pomembni varnostni posodobitvi za težave, ki bi lahko ogrozile vaš telefon. Toda njegova objava je postala priljubljena in nekatera poročila so povzročila nepotrebno paniko med ljudmi, ki na te stvari običajno niso pozorni.
"Prav tako sem bil presenečen, kako so mediji pobrali to posebno posodobitev, ko se varnostne posodobitve, kot je ta, zgodijo vsakih nekaj mesecev," je za Lifewire po e-pošti povedal Marc-Étienne Léveillé, raziskovalec zlonamerne programske opreme pri podjetju za digitalno varnost ESET. "To so pobrali tudi lokalni mediji tukaj [v Kanadi]."
Kaj je na kocki?
Z izdajo iOS 15.6.1 Apple rešuje dve specifični težavi glede na opombe o varnostni posodobitvi – ena je povezana z WebKitom, druga pa z jedrom. Oba sta pomembna iz podobnih razlogov.
Webkit je mehanizem spletnega brskalnika, ki ga uporabljata Safari in vsak drug brskalnik iPhone, in je pomemben sestavni del vsakega iPhone, ki se uporablja po vsem svetu. V opombah ob izdaji je Apple dejal, da "lahko obdelava zlonamerno izdelane spletne vsebine vodi do izvajanja poljubne kode, " kar pomeni, da bi zlobni akter lahko uporabil spletno mesto za zagon programske opreme na vašem iPhone brez vaše vednosti. Ta programska oprema bi lahko ukradla vaše osebne podatke ali še kaj hujšega.
K sreči je za veliko večino uporabnikov zelo malo verjetno, da jih bo prizadela vdor v varnost programske opreme.
Podobno izkoriščanje jedra omogoča slabim akterjem zagon programske opreme s povečanimi privilegiji. Jedro je del sistema iOS, ki se prvi naloži, ko vklopite svoj iPhone, in je pomemben del operacijskega sistema. Če dovolite izvajanje poljubne kode s privilegiji jedra, lahko ta varnostna napaka nekomu omogoči popoln dostop do vseh funkcij in podatkov v vaši napravi.
Apple je potrdil, da je "seznanjen s poročilom, da je bila ta težava morda aktivno izkoriščena." Ta del skrbi veliko ljudi, morda upravičeno. Toda kot vedno je v tej situaciji nekaj nians.
Vitalni kontekst
Vdiranje v telefone iPhone je velik posel in podjetja, kot je NSO Group, prodajajo vohunska orodja, kot je Pegasus, za točno to. Pegasus je bil v zadnjih letih uporabljen za vohunjenje za uradniki in novinarji in to počne z uporabo varnostnih lukenj, kot so tiste, ki so bile zakrpane v izdaji iOS 15.6.1.
Strokovnjak za varnost Léveillé se strinja, da izkoriščanja, ki jih je popravil Apple, verjetno ne bodo v široki uporabi. Dodal je, »koda izkoriščanja za uporabo ranljivosti ni javno znana, zato jih lahko uporablja le zelo omejeno število ljudi ali organizacij. Glede na to, kako redki in dragi so ti podvigi, se na splošno ne uporabljajo za množično ogrožanje naprav Apple.« Nadalje pravi, da lahko svoj iPhone posodobite ob svojem času, "razen če mislite, da ste tarča vohunske programske opreme, kot je Pegasus."
Léveillé ni edini strokovnjak za ta pristop. V intervjuju po elektronski pošti za Lifewire je Ben Wood, glavni analitik pri CCS Insight, dejal: "Na srečo je za veliko večino uporabnikov zelo malo verjetno, da jih bo prizadela kršitev varnosti programske opreme." Dodal je, da je "kot pri vsej programski opremi najboljši način ukrepanja, da potrošniki posodabljajo svojo programsko opremo na vseh napravah."
To na žalost ni sporočilo, ki ga ljudje slišijo. Mainstream prodajna mesta so pobrala zgodbo in se resnično osredotočila na opozorilo, da obstaja "nujna" potreba, da se vsi posodobijo. Posledično ljudje menijo, da hodijo naokoli s tiktakajočo časovno bombo, tudi če temu ni tako.
Apple resno jemlje varnost in je šel tako daleč, da je tožil skupino NSO, in ima funkcije, posebej zasnovane za pomoč ljudem, ki menijo, da so tarča njegove programske opreme.
»Če vaša naprava vsebuje zelo občutljive podatke ali menite, da bi lahko bili potencialna tarča vohunske programske opreme, kot je Pegasus, bi razmislil o posodobitvi na iOS 16, ko bo na voljo, in omogočite način zaklepanja,« je predlagal Léveillé.