В Bluetooth обнаружена серьезная уязвимость. Угрожает ли она iPhone и iPad?

Bluetooth SIG, некоммерческая корпорация, возглавляющая разработку Bluetooth и выдачу лицензий на ее применение, опубликовала сообщение о новой уязвимости, которая была выявлена в версиях Bluetooth с 4.0 по 5.0. Уязвимость позволяет злоумышленникам организовать так называемую "атаку посредника" на устройства пользователей. В группе риска оказались самые разные изделия многочисленных компаний - в их числе и устройства от Apple. Как уберечься еще и от этой напасти? Ввести режим строгой изоляции: отключить Bluetooth, отказаться от AirPods, заперев их в сейфе?

Угрожает ли уязвимость Bluetooth устройствам Apple?

Возможно, но судя по поверхностному описанию уязвимости в сообщении Bluetooth SIG, вероятность того, что изделия Apple пострадают от этой уязвимости, исчезающе мала. В Bluetooth-коммуникациях между устройствами программное обеспечение Apple ведет себя с маниакальной осторожностью. Лазейки, о которых рассказано в сообщениях, у Apple уже, на всякий случай, перекрыты. Другие меры безопасности ("песочницы", хитрое шифрование и многие другие) делают Apple еще более неуязвимой.

Но, тем не менее, абсолютно полной неуязвимости не бывает, и я уверен, что Apple заплатит за полную и детальную информацию об этой уязвимости, и если понадобится, тут же внесет в систему безопасности своих операционных систем необходимые изменения. И сделает изменения доступными, в той или иной форме, а то и обязательными. Apple это делает регулярно. В любом случае, в яблочной экосистеме новая уязвимость менее опасна чем на других платформах.

Bluetooth можно взломать?

Ничего страшного пока не случилось. Если бы брешь в системе безопасности Bluetooth указанных версий не была выявлена исследователями, когда-нибудь ей могли бы воспользоваться и со злым умыслом. Если мы знаем, как ее воспроизвести, мы уже почти ее победили. Остальное - дело техники. Только в Bluetooth, и только за последние два года, уже были выявлены и нейтрализованы три уязвимости. Эта - четвертая. Заплатка, нейтрализующая эту брешь, скоро появится в новых версиях или в апдейтах безопасности в операционных системах и в прошивках техники. Бреши и баги, которые еще не выявлены (а они, наверняка, есть), намного опаснее. Есть только один способ гарантированно защититься от них - не пользоваться техникой, но на это мы уже не способны.Уязвимость выявили две университетские команды. И гонорар им придется делить пополам. Заплатит им не Apple, и они, вероятно, расстроились, ведь Apple платит за такие сообщения немало. Из-за того, что весовые категории у охотников за уязвимостями и у гигантских корпораций, в чьих произведениях они выискивают проблемы, не совсем одинаковые, в прошлые годы случалось всякое.

Как заработать на багах Apple

Осенью 2016 года Apple запустила собственную программу под названием bug bounty - компания обещала выплачивать вознаграждения до 200 тысяч долларов тем, кто найдет критические баги в iOS. C 2019 года любой исследователь безопасности, который обнаружит ошибки в iOS, macOS, tvOS, watchOS или iCloud, будет иметь право на получение денежных выплат за раскрытие уязвимости для Apple.

Apple IPhone Доллар Университеты