«Функция iTunes Wi-Fi Sync» позволяет взломать ваш iPhone, iPad удаленно

Будьте осторожны при подключении вашего iPhone к ноутбуку друга для быстрой зарядки или совместного использования выбранных файлов.

Исследователи из Symantec выпустили предупреждение о безопасности для пользователей iPhone и iPad о новой атаке, которую они назвали « TrustJacking », которая может позволить кому-то, кому вы доверяете, дистанционно осуществлять постоянный контроль и извлекать данные с вашего устройства Apple.

Apple предлагает функцию синхронизации Wi-Fi iTunes в iOS, которая позволяет пользователям синхронизировать свои iPhone с компьютером по беспроводной сети. Чтобы включить эту функцию, пользователи должны предоставить одноразовое разрешение на доверенный компьютер (с iTunes) через USB-кабель.

После включения функция позволяет владельцу компьютера тайно шпионить за вашим iPhone через сеть Wi-Fi, не требуя никакой аутентификации, даже если ваш телефон больше не физически подключен к этому компьютеру.

«Читая текст, пользователь убежден, что это актуально только тогда, когда устройство физически подключено к компьютеру, поэтому предполагает, что его отсоединение предотвратит доступ к его личным данным», - сказал Symantec.

Поскольку на устройстве жертвы нет заметных признаков, Symantec полагает, что эта функция может использовать «отношение доверия, которое жертва имеет между своим устройством iOS и компьютером». Исследователи предлагают следующие сценарии, в которых можно успешно выполнить атаку TrustJacking, особенно если вы доверяете неправильному компьютеру:

• Подключение телефона к бесплатному зарядному устройству в аэропорту и ошибочное одобрение всплывающего разрешения, чтобы доверять подключенной станции.
• Удаленный злоумышленник, а не в той же сети Wi-Fi, может также получить доступ к данным iPhone, если собственный «доверенный» ПК или Mac владельца устройства был взломан вредоносным ПО.

Кроме того, функция синхронизации iTunes Wi-Fi также может использоваться для удаленной установки вредоносных программ на вашем iPhone, а также для загрузки резервной копии и кражи всех ваших фотографий, истории чатов SMS / iMessage и данных приложения.

«Злоумышленник также может использовать этот доступ к устройству для установки вредоносных приложений и даже заменять существующие приложения модифицированной завершенной версией, которая выглядит точно так же, как и исходное приложение, но может шпионить за пользователем при использовании приложения и даже использовать частные API, чтобы постоянно шпионить за другими действиями », - сказал Symantec.

Атака TrustJacking также может позволить доверенным компьютерам просматривать экран вашего устройства в режиме реального времени, повторяя удаленные снимки экрана, наблюдая и записывая каждое ваше действие. Apple теперь представила еще один уровень безопасности в iOS 11, попросив пользователей ввести свой код доступа iPhone при соединении своего iPhone с компьютером после получения уведомления от исследователей Symantec.

Тем не менее, Symantec заявляет, что лазейка остается открытой, поскольку исправление не затрагивает основной проблемы, то есть отсутствие заметного указания или обязательной повторной аутентификации между устройством пользователя и доверенным компьютером через определенный промежуток времени.

«Несмотря на то, что мы ценим смягчение, которое сделала Apple, мы хотели бы подчеркнуть, что он не затрагивает Trustjacking целостным образом», - сказал Рой Ярчай из Symantec. «Как только пользователь решил доверять уязвимому компьютеру, остальная часть эксплойта продолжает работать, как описано выше».

Лучший и простой способ защитить себя - обеспечить, чтобы никакие нежелательные компьютеры не доверяли вашему устройству iOS. Для этого вы можете удалить список доверенных компьютеров, выбрав «Настройки» → «Общие» → «Сброс» → «Сбросить местоположение и конфиденциальность».

Кроме того, самое главное, всегда отказывать в доступе, когда вас попросят доверять компьютеру во время зарядки вашего устройства iOS. Ваше устройство все равно будет заряжаться с помощью компьютера, не подвергая свои данные.