Apple выпустила экстренные обновления безопасности, чтобы исправить уязвимость нулевого дня. Как заявили в компании, она использовалась в целенаправленных и «чрезвычайно сложных» атаках, связанных со шпионажем.
«Физическая атака может отключить режим ограниченного доступа USB на заблокированном устройстве», — пояснили представители Apple в сообщении для пользователей iPhone и iPad.
Режим ограниченного доступа USB — это функция безопасности, представленная почти семь лет назад в iOS 11.4.1, которая блокирует создание подключения к данным аксессуаров USB, если устройство было заблокировано более часа. Она предназначена для блокировки шпионского программного обеспечения, такого как Graykey и Cellebrite, которое часто используют правоохранительные органы. Этот софт позволяет извлекать данные из заблокированных устройств iOS.
В ноябре Apple представила ещё одну функцию безопасности «перезагрузки при бездействии», которая автоматически перезагружает iPhone после длительного простоя, чтобы повторно зашифровать данные и усложнить их извлечение таким программным обеспечением.
Уязвимость нулевого дня, отслеживаемая как CVE-2025-24200, представляет собой проблему авторизации. Её устранили в iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5. Вот полный список устройств, на которые влияет эта уязвимость:
iPhone XS и более поздние версии,
iPad Pro 13 дюймов,
iPad Pro 12,9 дюймов 3-го поколения и более поздние версии,
iPad Pro 11 дюймов 1-го поколения и более поздние версии,
iPad Air 3-го поколения и более поздние версии,
iPad 7-го поколения и более поздние версии,
iPad mini 5-го поколения и более поздние версии,
iPad Pro 12,9 дюймов 2-го поколения и iPad Pro 10,5 дюймов,
iPad 6-го поколения.
Несмотря на то, что эта уязвимость использовалась только в целевых атаках, всем пользователям порекомендовали немедленно установить обновления.
В июле 2024 года Apple предупредила пользователей iPhone из 98 стран о потенциальных шпионских атаках. В апреле компания выпускала аналогичное оповещение для 92 стран.
В сентябре Apple обратилась в суд с просьбой отклонить её иск, поданный к разработчику шпионского программного обеспечения Pegasus NSO Group, так как опасалась раскрытия секретов производства iPhone.
