Киберпреступники использовали уязвимость CVE-2025-24200 для атак на iOS и iPadOS компании Apple. Внеплановое обновление безопасности уже выпущено.
Проблема уязвимости связана с ошибкой авторизации, позволяющей злоумышленникам отключать режим ограниченного доступа USB на заблокированных устройствах, что делает их уязвимыми для кибератак.
Для эксплуатации уязвимости требуется физический доступ к устройству. Режим ограниченного доступа USB, впервые представленный в iOS 11.4.1, предотвращает передачу данных через USB, если устройство не было разблокировано и подключено к аксессуарам в течение последнего часа. Эта мера защиты направлена на противодействие цифровым криминалистическим инструментам, таким как Cellebrite и GrayKey, используемым правоохранительными органами.
Apple признает, что ошибка могла использоваться в сложных атаках против определенных целей.
«С 1 августа 2023 года сотрудникам госслужб и работникам ФНС РФ запрещено использовать мобильные устройства компании Apple для ведения переговоров, а также для обработки, хранения и передачи информации в ходе служебной деятельности. Однако множество коммерческих организаций продолжают использовать данную технику, поэтому целесообразно принять меры по предотвращению атак и по обеспечению информационной безопасности сети. Например, использовать программные комплексы, способные производить аудит безопасности сети и сетевых устройств и вовремя обратить внимание на несанкционированный доступ к тем или иным ресурсам», — отметила к. т. н, руководитель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис» Ксения Ахрамеева.
