Az Apple mintegy 256 applikációt távolít el az App Store-ból azok biztonsági problémái miatt.

Az Apple 2014. február 22-én frissítette az iOS 6-os illetve 7-es verzióját. A frissítés azért vált szükségessé, mert egy Stefan Esser nevű twitter felhasználónak sikerült kiaknáznia egy sérülékeny kódrészletet. A bejegyzésből kiderül, hogy a böngésző SSL ellenőrzése hibára fut, miközben a végeredmény még is sikeres lesz, ezzel bármilyen tanúsítvány elfogadása megoldhatóvá válik.

A MacRumorst egy, az Apple konzorcium termékeivel foglalkozó információs és hírportált nemrégiben rosszindulatú felhasználók feltörték, és az 1,8 milliós weboldal legalább 860.000 felhasználói fiókját kompromittálhatták.

Bár az Apple nem tudja megakadályozni, hogy ellopják a telefonodat, de az új iOS 7 rendszer segíthet abban, hogy ne tudják újként eladni azt. Hétfőn a Worldwide Developers Conference-en az Apple bemutatott több új biztonsági funkciót is, amelyek közül az Activation Lock a legérdekesebb. Bár a cég nem ment bele túlságosan mélyen a részletekbe, Craig Federighi a szoftvermérnökök vezetője azt mondta, hogy a funkció célja az lesz, hogy megelőzze az iPhone vagy iPad eszközökhöz történő illetéktelen hozzáférést. Alapvetően úgy működik a rendszer, hogy ha a Find My Phone nyomkövető rendszer ki van kapcsolva, vagy a telefonról mindent (az operációs rendszert is) töröltek, akkor is szükség van a tulajdonos Apple ID és jelszó párosára, hogy újra működésre lehessen bírni a készüléket.

Egy aggasztó, újonnan felfedezett biztonsági rés segítségével fel lehet törni az Apple ID-t, és ehhez csak arra van szükség, hogy a támadó ismerje az áldozat email címét és születési idejét. A sérülékenység minden olyan Apple ügyfelet érint, akik áttértek a két faktoros hitelesítésre, ezáltal nyitva hagyva ezt a széles támadási felületet minden támadó számára, akik viszonylag könnyen megszerezhetik ezeket az alapvető információkat. A The Verge techblog azt állítja, hogy a támadási módszert lépésről lépésre bemutató útmutatót is készítettek (értelemszerűen nem hozták nyilvánosságra), amelyet az Apple saját jelszó reset-elési eszközével lehet végrehajtani.

Az Apple App Store egy olyan sérülékenységét fedezte fel egy Google fejlesztő, amelynek segítségével el lehetett lopni a felhasználók jelszavait, valamint tetszőleges, például drága alkalmazásokat lehetett telepíteni. A támadó el tudta téríteni a kapcsolatot, mivel az Apple elhanyagolta azt hogy titkosítsa az adatforgalmat, miközben a felhasználó kapcsolódott az App Store-hoz. Elie Bursztein biztonsági kutató a blogjában hozta nyilvánosságra, hogy még júliusban értesítette az Apple-t a veszélyekről, de a vállalat csak a nemrégiben engedélyezte a HTTPS kapcsolatokat. A támadónak elég volt annyi, hogy ugyanazt a hálózatot használja, mint az App Store-ba bejelentkező áldozat, így hozzá tudott férni az adatforgalomhoz, amelybe a saját parancsait tudta beilleszteni.

Az Apple-nél, a Facebook-nál és több száz más vállalatnál lévő Mac számítógépeket törtek fel egy kifinomult módszereket használó támadásban, amelyet jelenleg még ismeretlen támadók követtek el. Az elkövetőknek sikerült egy olyan káros szoftverrel megfertőzniük az Apple gépeket a világ minden táján, amit egy Java 0-day sérülékenységen keresztül tudtak telepíteni, mondta az Apple egy szóvivője, aki azt is elárulta, hogy ugyanarról a támadásról van szó, amelyet a múlt héten a Facebook hozott nyilvánosságra.

Az Adobe kiadott egy sürgősségi javítást a Flash Player-ben felfedezett kritikus besorolású sérülékenységre, amiket kihasználva jelenleg is támadják a világ legelterjedtebb böngésző bővítményét. Az Adobe által kiadott figyelmeztetésben felhívják a figyelmet arra, hogy a két 0-day sérülékenységet aktívan kihasználják a hacker-ek és káros szoftver készítők. Bár a támadások a Windows és OS X rendszereket veszik célba, a rendkívüli javítás elérhető a Linux és Android felhasználók számára is. Az Adobe szerint az OS X támadások a Safari és a Firefox felhasználókat veszélyeztetik, és a káros kódot a weboldalakon host-olt Flash tartalmak segítségével juttatják el az áldozat rendszerére. A Windows esetén olyan Microsoft Word dokumentumokról számoltak be, amelyek email csatolmányként érkeznek, és amelyek káros Flash állományokat tartalmaznak.

Durva időszakon ment át a Java az elmúlt hetekben. Több sérülékenység is felvetődött a népszerű platformmal kapcsolatosan, és a legutóbbi, néhány napja kiadott javítás legalább annyi problémát vet fel, mint amennyit megold, ráadásul az Apple bejelentette, hogy teljes mértékben blokkolja a Java-t. A MacGeneration nevű, francia nyelvű portálon bukkant fel nyilvánosan először az ötlet, hogy le kéne tiltani a Java-t, és most kiderült, hogy az Apple XProtect frissítése pontosan ezt teszi. A 10.6 OS és annál újabb Mac OS X -ben a Java összes kiadását letiltották.

iPhone, iPad vagy Mac rendszeren, alapértelmezett vagy könnyen megfejthető jelszóval rendelkező Asus router használatakor, egy valódinak tűnő email megnyitása a hálózat feltöréséhez vezethet. Az első tesztek Asus RT-N16 és Asus RT-N56U router-ekkel készültek, és a támadás mindkét esetben sikeres volt, de lehetséges, hogy más gyártóktól származó eszközök is érintettek a problémában. Az alábbi videóban bemutatjuk, hogyan zajlik le a támadás, amelynek következtében a router-ben beállított DNS szerver címeket megváltoztatja a támadó egy általa felügyeltre. Az ötletet az adta, hogy az Apple eszközök automatikusan betöltik a távoli erőforrásokon lévő képeket. Ez a megoldás adatvédelmi szempontból aggályos, és semmilyen körülmények között nem ajánlott gyakorlat. Ha egy támadó olyan email-t küld, amiben 1x1 pixel nagyságú kép van, amelyek színe az email kliens által használt háttérszín, akkor az nem lesz átható. A kliens betölti a képet, amivel viszont felfedi az IP címet és a használt kliens verziót, illetve még akár a személyazonosságot is.