iCloud хранит давно удаленную историю браузера - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

iCloud хранит давно удаленную историю браузера

Вредоносное ПО на основе макрокода преодолело границу между платформами Windows и Mac. Кибергруппа, использующая российский IP-адрес в качестве C&C, распространяет документ Word с вредоносным макросом, который исполняется лишь на macOS.

Согласно сценарию, хорошо известному, прикрепленный к письму документ снабжен привлекательным именем – в данном случае U.S. Allies and Rivals Digest Trump’s Victory – Carnegie Endowment for International Peace.docm (якобы очередной комментарий аналитиков Фонда Карнеги после победы Трампа).

При попытке открыть вложение получателя просят включить макрос; если тот последует этой инструкции, запустится даунлоудер, который попытается загрузить дополнительный код с сайта атакующего.

«История вашего браузера является олицетворением вашего образа жизни. Вы — то, что вы читаете, и история браузера это отражает. Ваши поисковые запросы к Google, посещенные сайты новостей, активность на форума и в блогах, шоппинг, банкинг, общение в социальных сетях и прочая веб-активность, [все это] может воссоздать картину вашей ежедневной деятельности. Вероятно, история браузера – это наиболее интимная часть того, что называют online privacy. Вы бы не хотели, чтобы история вашего браузера стала достоянием общественности, не так ли?», — с такого вопроса начинает пост в официальном блоге компании глава ElcomSoft Владимир Каталов.

Эксперт объясняет, что история браузера является ценным инструментом в руках киберкриминалистов. А когда речь заходит об устройствах компании Apple, iCloud на них работает непрерывно (конечно, если пользователь активировал эту функцию), и в облаке содержится множество полезной информации, которая может помочь расследованию или стать ценным источником данных во время слежки.

Официально компания Apple обещает не хранить информацию, которую пользователь удалил из iCloud, дольше 30-60 дней. Однако это правило соблюдается далеко не всегда. Так, ранее исследователи ElcomSoft уже обнаруживали в облаке давно удаленные фотографии, а также журналы вызовов, причем синхронизацию последних отключить вообще не представляется возможным.

Помимо прочего, в облаке сохраняется и история Safari, которая также синхронизируется между разными устройствами пользователя. Если удалить запись на одном из устройств, на остальных девайсах она тоже пропадет за считанные минуты (разумеется, если устройство подключено к интернету). Однако вся эта информация останется в базе данных SQLite, очистка которой происходит с разной периодичностью. Каталов пишет, что на активно используемых устройствах очистка может происходить как раз в пару дней, так и раз в 2-3 недели.

Как выяснилось, в iCloud  эти данные хранятся гораздо дольше. При помощи инструментов Elcomsoft Phone Breaker 6.40 и Elcomsoft Phone Viewer 2.25 специалистам удалось обнаружить на серверах Apple информацию более чем годичной давности.

Получить комментарий представителей Apple о происходящем не удалось ни самим специалистам ElcomSoft, ни представителям СМИ, которых уведомили заранее, дав им время на подготовку.

Недавно оригинальная запись в блоге ElcomSoft была обновлена, так как уже после выхода публикации инженеры Apple, судя по всему, начали подчищать старые истории браузеров на своих серверах.

«Исходя из того, что нам известно, они могут просто перемещать информацию на другие серверы, чтобы удаленная история стала недоступна извне, но мы никогда не узнаем этого наверняка. В любом случае, начиная с текущего момента, для большинства iCloud-аккаунтов нам доступна история только за последние две недели (хотя удаленные записи за эти две недели по-прежнему здесь). Хороший ход, Apple. Но мы все же хотели бы услышать какое-то объяснение», — пишут специалисты ElcomSoft.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus