Apple: Lockdown Mode эффективен против шпионского ПО

Почти через четыре года после запуска функции безопасности Lockdown Mode компания Apple заявляет, что не сталкивалась с случаями взлома устройств, когда эта дополнительная защита была включена.

«Нам неизвестно о каких-либо успешных атаках шпионского ПО на устройства Apple с активированным режимом Lockdown Mode», — заявил в пятницу представитель Apple Сара О'Рурк изданию TechCrunch.

Это последнее подтверждение от технологического гиганта, что устройства Apple с активированным режимом Lockdown Mode могут противостоять атакам правительственного шпионского ПО. Компания впервые сделала подобное заявление год спустя после запуска этой функции безопасности.

В 2022 году Apple объявила о Lockdown Mode — наборе защитных мер, которые отключают определенные функции в iPhone и других устройствах Apple, часто используемые для взлома жертв с помощью шпионского ПО. Apple специально выпустила этот режим безопасности, чтобы помочь пользователям из групп повышенного риска защититься от угроз, исходящих от правительственного шпионского ПО, создаваемого такими компаниями, как Intellexa, NSO Group и Paragon Solutions.

В последние годы Apple признала, что ее клиенты могут стать жертвами шпионского ПО, и стала более активно уведомлять пользователей, ставших объектами атак.

Компания отправила множественные партии уведомлений пользователям в более чем 150 странах, предупреждая их о возможном взломе с помощью шпионского ПО. Это демонстрирует, насколько хорошо компания теперь видит такие типы атак. Apple никогда не раскрывала, сколько пользователей получили уведомления, но, вероятно, можно предположить, что их было несколько десятков, если не больше.

Донча О'Кербалл, глава лаборатории безопасности Amnesty International, где он исследовал десятки атак с использованием шпионского ПО, сказал, что он и его коллеги «не видели доказательств успешного взлома iPhone с помощью шпионского ПО, когда Lockdown Mode был включен во время атаки».

Организации по цифровым правам, такие как Amnesty International и Citizen Lab Университета Торонто, задокументировали несколько успешных атак на пользователей iPhone, ни в одной из которых не упоминалось обход Lockdown Mode. По крайней мере, в двух случаях исследователи Citizen Lab публично заявили, что видели, как Lockdown Mode активно блокировал атаки шпионского ПО — одна из них была проведена с помощью Pegasus от NSO, другая — с помощью Predator, созданного компанией, которая теперь входит в Intellexa.

По крайней мере, в одном задокументированном случае атаки шпионского ПО, нацеленного на iPhone, исследователи безопасности Google заявили, что шпионское ПО прекращает попытки заражения жертвы, если обнаруживает Lockdown Mode, вероятно, чтобы избежать обнаружения.

Патрик Уордл, эксперт по кибербезопасности Apple и критик, говорит, что Lockdown Mode — важная функция, которая затрудняет атаки создателей шпионского ПО на пользователей Apple.

«Я думаю, можно с уверенностью сказать, что Lockdown Mode — одна из самых агрессивных функций защиты, когда-либо созданных для конечных пользователей», — сказал он TechCrunch.

Уордл объяснил, что «уменьшая поверхность атаки», Lockdown Mode устраняет многие методы, обычно используемые для эксплуатации iPhone, и вынуждает создателей шпионского ПО использовать более сложные и дорогостоящие техники.

«Она убивает целые механизмы доставки/классы эксплойтов», — добавил он. «Она блокирует большинство типов вложений в сообщениях, ограничивает функции WebKit. Это действительно огромное сокращение удаленно доступной поверхности атаки, особенно для эксплойт-цепочек с нулевым кликом», — имея в виду атаки, которые могут нацелиться на людей через интернет без какого-либо взаимодействия со стороны жертвы.

Возможно, Lockdown Mode был обойден, но ни Apple, ни независимые исследователи не заметили атаку. Но учитывая, что Apple обычно очень скупа на публичные заявления, ее последнее заявление знаменует собой значительную веху для Lockdown Mode.

Я использую Lockdown Mode уже много лет, и почти не думаю об этом — за исключением случаев, когда появляются уведомления, которые могут быть временами сбивающими с толку. Некоторые отключенные функции требуют дополнительного шага, например копирования и вставки ссылок из текстовых сообщений в браузер. Вот почему я, как и несколько экспертов по цифровой безопасности, рекомендую всем, кто беспокоится о том, что может стать целью для шпионского ПО или цифровых атак, включить Lockdown Mode.