Apple ukončil právní spor s firmou Corellium, která nabízela klon operačního systému iOS

Apple ukončil vleklý právní spor se společností Corellium. Ta se zabývá bezpečností a nabízela odborníkům možnost využívat klon operačního systému iOS. Corellium se tak snažilo poskytnout bezpečnostním odborníkům klon prostředí pro testování zranitelností a chyb. Apple však v roce 2019 firmu zažaloval za porušení autorských práv na iOS a iPhone.  V loňském roce soudce zamítl žalobu, Apple se ale nechtěl vzdát. Nakonec ale došlo k důvěrnému vyrovnání, jehož podrobnosti bohužel neznáme. Corellium však může nadále poskytovat své klony bezpečnostním výzkumníkům. Corellium celou dobu

Apple nečekaně reaguje na bezpečnostní situaci okolo macOS Big Sur. Odesílání dat z počítače bude…

V nedělní glose jsem popisoval situaci ohledně nevyjasněného odesílání dat ze všech počítačů s nainstalovaných macOS 11 Big Sur. Apple nečekaně zareagoval a vše se pokusil vysvětlit. Celou kauzu spustily problémy s vydáním macOS 11 Big Sur, kdy měl Apple výpadek části serverů, což vedlo k potížím s novým operačním systémem pro počítače Mac. Mezitím jeden z bezpečnostních výzkumníků Jeffrey Paul vydal analýzu, která vzbudila nemalé ohlasy. Jeffrey totiž poukázal na chování Big Sur, který bez vědomí uživatele odesílal informace z počítače na servery Applu. Firma se

Glosa: macOS Big Sur sleduje uživatele. Máme se obávat praktik Microsoftu?

Internetem se šíří článek bezpečnostního odborníka Jeffrey Paula. Ten odhalil, že macOS 11 Big Sur aktivně sleduje uživatele a odesílá data zpět na servery Applu. Máme se obávat praktik známých z Windows 10? Původní článek najdete tady. Jde o poměrně hutné čtení plné odborných pojmů v angličtině, ale můžete jej přelouskat i s průměrnou znalostí jazyka. Ve zkratce se dozvídáme, že nejnovější operační systém macOS 11 Big Sur aktivně hlídá každý krok uživatele a odesílá informace o používání systému zpět Applu. Nejde však

Apple zpozdí ochranu před sledováním reklam napříč systémem iOS 14. I na žádost Facebooku

Apple nakonec přinese ochranu před sledováním uživatele skrze reklamy později. Funkce přitom byla plánována společně s uvedením iOS 14. Proti uvedení funkce se však ohradilo velké množství menších i větších vývojářů, a to včetně Facebooku. Novinka měla původně chránit uživatele iOS 14 (iPadOS 14) před sledováním pro reklamní účely napříč aplikacemi. Vývojáři včetně Facebooku protestovali, že přijdou až o 50 % zisků kvůli nemožnosti přesně cílit reklamy na dané uživatele. Dalším argumentem bylo, že Apple dal programátorům málo času přizpůsobit se

Apple opakovaně podepsal balíčky instalátorů s malware pro Mac

Apple opakovaně omylem podepsal instalační balíčky falešných aplikací, které obsahovaly malware pro počítače s macOS. Apple vyžaduje po vývojářích, aby odeslali své aplikace pro macOS na kontrolu a proces zvaný „notarizace“. Tento postup je vyžadován od uvedení systému macOS 10.15 Catalina a nepodepsané aplikace jsou ve výchozím stavu blokovány systémem. Bezpečnostní odborník Peter Dantini a jeho kolega Patrick Wardle odhalili, že celý proces má nedostatky. Apple totiž podepsal minimálně jeden instalační balíček s malware, a to i pro nejnovější operační systém macOS

Na serveru GitHub se objevil nový malware pro Mac. Zneužívá nástrojů Xcode

Na vývojářské síti GitHub se objevil nový typ malwaru pro počítače s operačním systémem macOS. Škodlivý kód přitom využívá vývojářských nástrojů Xcode. Výzkumníci společnosti Trend Micro, která je součástí skupiny XCSSET, popsali nový druh dosud neznámé infekce, která se nacházela ve zdrojových kódech projektů umístěných na vývojářské síti GitHub. Malware byl přímo součástí projektu pro nástroje Xcode a po stažení a následné kompilaci kódu se stal součástí aplikace. Malware se primárně soustředí na krádeže dat z webového prohlížeče Safari a dalších. Umí

Apple poskytl data z iCloudu amerického senátora vyšetřovaného FBI

Apple vyhověl žádosti bezpečnostních složek FBI a poskytl všechna data z iCloudu. Ta patřila americkému senátorovi, který je nyní vyšetřován. Americký senátor Richard Burr je vyšetřován orgány USA za podezřelé transakce na akciových trzích. Vše má souvislost s aktuální pandemií koronaviru. Podle Los Angeles Times si agenti FBI vyžádali u Applu veškerá data, která mají doplnit zjištění ze senátorova iPhone. Podle zprávy senátor prodal významnou část svého portfolia akcií ještě před významným propuknutím koronavirové pandemie 13. února. Celkem provedl 33 transakcí těsně

Nová zpráva s určitými emoji dokáže zhavarovat celý iOS. Obsahuje italskou vlajku a symboly

Není to poprvé, kdy se internetem začaly šířit zprávy obsahující přesně danou posloupnost emoji, která poté zapříčiní pád celého systému iOS. Tentokrát je jedním ze znaků italská vlajka.  Nová zpráva rychle obletěla sociální sítě, když ji poprvé sdíleli uživatelé Redditu. Přesně daná posloupnost znaků, tedy italská vlajka následovaná znaky a symboly v jazyce Sindhi, zamotá hlavu operačnímu systému iOS a ten následně havaruje.  Bohužel momentálně není cesta, jak se této zprávě bránit. Stačí totiž pouhá notifikace, která se pokusí zobrazit

Mail v iOS obsahuje kritické chyby. Útočníci dokážou jedním emailem zahltit paměť případně stahovat a…

Bezpečnostní odborníci odhalili hned dvě kritické zranitelnosti v systémové aplikaci Mail. Tu dokážou útočníci využít k zahlcení paměti iOS zařízení anebo ke stahování emailů ze zařízení. Odborníci ze společnosti ZecOps odhalili dvě kritické zranitelnosti aplikace Mail v iOS 13. Zranitelnosti se však nachází i v předchozí verzi operačního systému iOS 12 a jejich původ dokonce sahá až k iOS 6. Ten vyšel společně s iPhone 5. Zranitelnost dovolí útočníkovi spouštět kód obsažený přímo ve zprávě anebo v její příloze. Odborníci jmenují například kód v těle zprávy anebo

Apple varuje uživatele ohledně zastaralých rozšíření systému macOS. Vaše VPN už příště nemusí fungovat

Apple společně s aktualizací systému macOS 10.15.4 posouvá bezpečnost o krok dále. Systémová rozšíření už nebudou v příštích verzích fungovat. Pokud jste nadšeně aktualizovali macOS na poslední verzi 10.15.4 a používáte aplikace, které využívají systémová rozšíření, pak jste spatřili podobné varovné hlášení jako my. To upozorňuje, že v příštích verzích operačního systému macOS bude ukončena současná podpora rozšíření systému a aplikace budou muset přejít na nový framework. Systémová rozšíření sahají přímo k jádru macOS (kernelu), aby přidaly nezbytné funkce. To

Oblíbené aplikace jako TikTok čtou informace v systémové schránce iOS. Mají k ní neomezený přístup

Ačkoli jsou iOS a iPadOS velmi bezpečné systémy, občas se objeví skrytá skulina. Tou aktuální je systémová schránka, kam se ukládají data, která kopírujete skrze funkci kopírovat a vložit. Systémová schránka slouží v iOS a iPadOS pro odkládání zkopírovaných dat pomocí funkce kopírovat a vložit (angl. Copy & paste). Byla navržena tak, aby do ní mohly přistupovat aplikace třetích stran a číst z ní data. Zní to logicky a chování je navrženo správně. Bezpečnostní studie oborníků Talal Haj Bakry a Tommy

Apple blokuje downgrade na iOS 13.3. Na vině je patrně brzké vydání jailbreaku

Apple přestal podepisovat aktualizace iOS 13.3 a iPadOS 13.3. To znamená, že se již není možné vrátit k předchozím aktualizacím. Vše patrně souvisí s brzkým uvedením nového jailbreaku. Apple už pravidelně přestává po uvedení novějších verzí svých operačních systémů podporovat downgrade na starší aktualizace. Tentokrát však poměrně celý proces uspěchal.  Aktuální sestavení iOS 13.3.1 a iPadOS 13.3.1 je venku lehce přes týden a firma už blokuje návrat na předchozí iOS 13.3, respektive iPadOS 13.3. Uživatelé tak nemohou využít ani standardní metodu skrze

Inženýři Applu navrhli nový formát SMS s jednorázovými kódy. Google s podobou souhlasí

Inženýři Applu, kteří se starají o WebKit, navrhli novou podobu textových zpráv, které obsahují jednorázové přihlašovací kódy. Zvýšit by se měla bezpečnost a standardizovat podoba napříč všemi webovými portály. Značná část webových portálů už dnes využívá dvou-faktorové ověření. Prvně zadáte vlastní uživatelské údaje, tedy jméno a heslo, následně opíšete jednorázový bezpečnostní kód, který dorazí odděleně v SMS. Aktuálně však každá stránka používá vlastní formát SMS zpráv. Mnohdy tak ani nemáte šanci ověřit, zda příchozí kód opravdu zasílá dotyčný portál. Stěžuje to

Nová verze Safari se definitivně rozloučí s podporou Adobe Flash

Nejnovější vývojářské sestavení Safari Technology Preview 99 obsahuje kromě mnoha změn pod pokličkou jednu zcela zásadní. Apple se zcela loučí s podporou jedné zastaralé technologie. Příští ostrá verze webového prohlížeče Safari pro Mac už nebude žádným způsobem podporovat plugin Adobe Flash. Mac se tedy srovná se dalšími zařízeními Applu jako jsou iPhone a iPad, jejichž operační systémy tuto kdysi velmi oblíbenou technologii nikdy nepodporovaly. Samotné Adobe oznámilo v roce 2017 ukončení vývoje pluginu Flash pro prohlížeče s tím, že celá podpora a distribuce

Apple zrušil plány na šifrování záloh v iCloudu. Firma zřejmě ustoupila požadavkům FBI

Už před dvěma lety měl Apple v plánu ještě více posílit soukromí a ochranu dat svých uživatelů. Jenže narazil na odpor amerických úřadů a vládních agentur. Server Reuters měl šanci vyzpovídat bývalého zaměstnance firmy. Bavili se mimo jiné také o bezpečnosti dat. Apple chtěl původně šifrovat nejen samotná zařízení, jak to dělá nativně v operačních systémech iOS a iPadOS (volitelně také v macOS), ale rovněž i data uschovaná na iCloudu. Vyvíjení end-to-end šifrování záloh pro iCloud ale bylo zastaveno. Nabízí se souvislost s právní

FBI dokázala odemknout iPhone 11 Pro Max. Patrně už nepotřebuje pomoc Applu

Americká FBI už dokázala odemknout nový iPhone 11 Pro a patrně nebude potřebovat pomoc Applu při odemčení dalšího iPhonu, který patří střelci z Floridy. Zdá se, že agenti mají nástroje, jak prolomit i nejnovější ochrany. Zpráva, která už obletěla technologická média, hovoří o úspěšném pokusu FBI o odemčení iPhonu 11 Pro Max a překonání jeho ochran. Smartphone patřil Baris Ali Kochovi, který pomohl svému odsouzenému bratrovi při útěku ze země. Poskytl mu vlastní doklady a lhal vyšetřujícími policistům. Nyní je ve

FBI opět žádá Apple o odemčení iPhonu. Společnost vytrvale odmítá pomoci

Společnost Apple obdržela dopis od americké FBI, aby pomohla odemknout iPhone, který patřil útočníkovi na Floridě. Úřady chtějí zjistit, zda telefon neukrývá další možné důkazy. V úplném znění dopisu, který zamířil Katherine Adams, představitelce Applu, se FBI dožaduje spolupráce na odemčení dvou iPhonů. Ty slouží jako důkazy při vyšetřování střelby, jež se odehrála minulý měsíc v Naval Air Station ve státě Florida. Oba telefony jsou chráněny heslem a jeden z nich je poškozen, patrně v důsledku střelby. Dle NBC News Apple předal všechna možná

Apple bude po letech opět na konferenci CES. V hlavní roli bude HomeKit a bezpečnost

Apple se už dlouhé roky neúčastní každoročního veletrhu a konference spotřební elektroniky CES v Las Vegas. Letos ale udělá výjimku a vyšle svou zástupkyni, která bude hovořit o HomeKitu a bezpečnosti. Média očekávají, že letošní CES 2020 se zaměří především na domácnosti a chytrou elektroniku. Významnými hráči na tomto poli jsou zejména Google a Amazon, kteří nabízí široké možnosti integrace a jsou oblíbení zejména na americkém trhu. Poněkud překvapivě se letos přidá i Apple. Firma se tak na CES vrací po

Apple zdůrazňuje, že neustálá kontrola polohových služeb v iOS 13 je v zájmu soukromí uživatelů

Aktuální operační systémy iOS 13 a iPadOS 13 zpřísnily možnosti aplikací sledovat polohu zařízení, zejména když jsou spuštěny na pozadí. Vývojářům se ale dané kroky nelíbí a částečně ani některým uživatelům. Nová nastavení iOS 13 a iPadOS 13 omezují sledování polohových dat aplikacemi spuštěnými na pozadí. Při jakémkoli pokusu o využití polohovacích služeb je uživatel upozorněn dialogovým oknem. V něm může dané aplikaci povolit používání pro daný okamžik anebo pouze pokud je aplikace aktivně spuštěna, tedy při používání. Možnost trvalého přístupu

Apple využil právní kroky vůči Twitteru. Jeden z příspěvků na sociální síti totiž obsahoval šifrovací…

Apple použil právní klauzuli DMCA a donutil sociální síť Twitter ke smazání příspěvku, který obsahoval šifrovací klíč ke smartphonům iPhone. Dne 7. prosince zveřejnil uživatel „Siguza“ sociální sítě Twitter příspěvek, který by mohl zásadním způsobem narušit bezpečnost všech iPhonů. Obsahoval totiž bezpečnostní klíč k iPhone Secure Enclave, což je šifrovaná část firmware, která mimo jiné obsahuje i biometrická data. Pokud by klíč dokázal kdokoli prolomit, například pomocí reverzního inženýrství, pak by mohla být zásadně narušena bezpečnost všech iPhonů. Apple proto skrze

Apple sdělil kongresu, že na servisních opravách prodělává a webové prohlížeče nemohou být v iOS…

Apple zaslal svou obhajobu komisi, která řeší monopolní postavení na trhu a další otázky týkající se překročení pravomocí a narušení volného trhu korporacemi. Dopis kongresu odhaluje zajímavé informace. Apple to nemá lehké ani v EU, ale ani na domácí půdě v USA. V rámci některých nařčení, že využívá monopolního postavení a nepřípustně bojuje proti neautorizovaným servisům, musela firma sepsat svou obhajobu pro tamní House Judiciary Committe. Komise se bude zabývat nejen údajnými „nekalými praktikami“ okolo servisů, ale také například pravidel a zvýhodňování aplikací

Sdílení poznámek v iOS 13 může být nebezpečné. Systém sdílí uživatelům zcela jiné složky včetně…

V redakci se nám stala poměrně zajímavá věc. Na iPhonu vybaveném nejnovějším systémem iOS 13 jsem sdílel složku pro společnou práci. K velkému překvapení však systém nasdílel zcela jiné složky a ještě k tomu s úplnými právy. Už delší dobu upřednostňuji jednoduchost systémových poznámek. Jejich přehlednost a minimalismus mi vyhovuje před komplexností nástrojů typu Evernote nebo Microsoft OneNote. Bohužel aktuální verze v iOS 13 spíše nefunguje, než funguje, a dokáže vyrobit řádné bezpečnostní riziko. Jak vidíte na tmavém screenshotu, pokusil jsem se nasdílet složku „Mac-Help“

Vývojář už vyzkoušel zranitelnost checkm8 na svém iPhone X

Sotva jsme se dozvěděli o zranitelnosti chekm8 týkající se všech starších iPhonů, už se objevili první experimentátoři. Zdá se, že exploit skutečně funguje. Vývojář Axi0mX s nadšením sdílel na svém twitteru, že se mu podařilo využít zranitelnosti checkm8 a hacknout svůj iPhone X. Podařilo se mu dostat operační systém do verbose režimu, což standardně není možné. Zdá se tedy, že jailbreak může oslavit velkolepý návrat. Tentokrát však nepůjde pouze o modifikace samotného OS, ale můžete si dovolit například i dualboot

Nová díra v iPhonech umožní snadno jailbreaknout modely od iPhone 4S až po X. Chybu…

Bezpečností specialisté narazili na zásadní chybu, díky které znovu ožívá jailbreaková komunita. Díra se týká mnoha modelů a navíc není možné ji opravit. Po dlouhých letech našli bezpečnostní specialisté opět chybu, která hýbe celou komunitou jailbreaku. Jinými slovy díky systémové chybě přímo v bootroom části je nyní možné jailbreaknout celou řadu smartphonů a to od stařičkého iPhone 4S až po moderní iPhony 8 a X, včetně iPodů touch nebo iPadů. Chyba se váže přímo k architektuře procesorů ARM od Applu,

MacBooky Pro 15“ s vadnými bateriemi nesmí nově do letadel v USA

Zdá se, že problém s vadnými bateriemi 15“ MacBooků Pro 2015 je vážnější, než se zdálo. Nově na aerolinkách v USA platí zákaz těchto počítačů na palubě letadel. Apple v červnu zahájil výměnný program vadných baterií v 15“ MacBoocích Pro, které byly v prodeji v letech 2015 až 2017. Tyto baterie se mohou přehřívat a v krajních případech i vznítit. Americký úřad pro leteckou dopravu uvedl pro server Bloomberg, že informuje všechny zaměstnance ohledně možného incidentu týkajícího se těchto počítačů.

Bezpečnostní expert navrhl Lightning kabel, který se dokáže nabourat do Macu

Bezpečnostní expert MG navrhl Lightning kabel, který má schopnost překonat ochrany v počítači Mac a umožnit útočníkovi vzdálené ovládání. Odborník s přezdívkou MG nabízí své speciální O.MG kabely, které jsou k nerozeznání od těch pravých od Applu. Na jedné straně USB-A, na druhé straně Lightning, a to vše v bílém provedení. Kabely také od Applu původně pochází, ale byly ručně upraveny. Po připojení k počítači se chovají jako standardní Lightning kabely. Tedy do doby, než v nich útočník vyvolá speciální

Apple čelí žalobě za odposlouchávání uživatelů bez jejich vědomí

Internetem proletěla zpráva, že Apple odposlouchává nahrávky Siri. Jeden z kontraktorů, který se podílel přímo na analýze, pustil tyto informace do médií. Reakce v podobě žaloby na sebe nenechala dlouho čekat. Motto Applu je boj za soukromí uživatelů. Avšak ani tato tvář není zcela bez pih. Apple sbírá určité procento komunikace mezi Siri a uživateli. Zajímají ho zejména nechtěné aktivace, případně aktivace jinou osobou. Cílem je pak analýza takovýchto nahrávek najatými lidmi. Ti vypracovávají podklady pro zlepšení Siri a jejího

Bezpečnostní experti dostanou od Applu otevřené iPhony k hackování

Apple rozdá bezpečnostním expertům speciálně upravené iPhony, aby mohli hledat chyby a cesty jak zařízení hacknout. Společnost si od tohoto kroku slibuje rychlejší opravu děr v systému. V Las Vegas se v těchto dnech koná konference Black Hat zaměřená na bezpečnost. Apple se také účastní a hodlá oznámit hned několik nových programů. Prvním z nich bude posílení a podpora expertům, kteří hledají chyby v iOS. Odborníci obdrží speciální modely iPhonů, které se podobají těm vývojovým. Budou rovněž otevřené, ale nikoli

Zranitelnost Bluetooth umožňuje sledovat jakýkoli Mac nebo iPhone

Výzkumníci Bostonské univerzity objevili metodu, pomocí které lze identifikovat a sledovat libovolný Mac anebo iOS zařízení. Většina zařízení se brání sledování pomocí náhodné změny MAC adresy (Media Access Control), ale členové týmu našli způsob, jak toto obejít. Dokázali totiž extrahovat tokeny, které umožní zařízení sledovat i přes změnu adresy. Vytvořili jsme speciální address-carryover algoritmus, který využívá zranitelnosti identifikačních tokenů. Ty se totiž nesynchronizují s novou adresou, a tak jsme schopni nepřerušovaně sledovat zařízení. Tento postup funguje na Windows 10, iOS

Vysílačka v Apple Watch vypnuta z bezpečnostních důvodů, útočník totiž mohl odposlouchávat druhou stranu

Apple dočasně vypnul službu Vysílačka, která je součástí watchOS na Apple Watch. Objevila se totiž nebezpečná zranitelnost, díky které mohl útočník odposlouchávat durhou stranu. Apple chybu právě odhalil a jako preventivní krok vypnul serverovou stranu služby Vysílačka (v anglické verzi Walkie-Talkie). Zástupci společnosti věří, že zatím nikdo tuto zranitelnost nezneužil. Podrobnosti o chybě však zveřejněny nebyly. Inženýři tvrdí, že celý útok by vyžadoval jasně daný sled specifických kroků. Těžko by tak na chybu někdo narazil pouhou náhodou. Což je prvý

Automatická aktualizace macOS řeší skrytou zranitelnost, která dovolila spouštět bez vědomí uživatele kameru počítače

V průběhu týdne se objevila závažná zranitelnost, která umožnila bez vědomí uživatele spustit kamerku Macu. Apple nyní vydal tichou bezpečnostní aktualizaci. Zranitelnost se týkala aplikace Zoom, která je určena nejen pro videokonference. Aplikace na pozadí skrytě instalovala webový server. Ten měl zjednodušit automatický příjem hovorů. Bohužel, při odinstalování aplikace standardním způsobem zůstal webový server v počítači. Skrytý webový server terčem útoku Mezitím se zjistilo, že právě tento skrytý webový server může být zcela jednoduše využit k neoprávněnému nahrávání obrazu. Zoom

Nový malware pro macOS krade cookies a hesla z prohlížeče

Čas od času se objeví malware i pro jinak bezpečnou platformu macOS. Bezpečnostní specialisté objevili nový druh zaměřený na cookies a hesla uložená v prohlížeči.