SAN FRANCISCO, 19. januára 2026, 03:30 PST
- Apple uviedol, že dve chyby WebKit opravené v iOS 26.2 mohli byť použité v „mimoriadne sofistikovaných“ cielených útokoch
- Technologické a bezpečnostné médiá vyzývajú používateľov, ktorí odkladali iOS 26, aby aktualizovali a reštartovali zariadenia
- Odborníci tvrdia, že reštartovanie môže narušiť niektoré malvéry, ale hlavnou opravou zostávajú záplaty
Bezpečnostní výskumníci a spotrebiteľské technologické stránky opäť vyzývajú používateľov iPhonov, aby aktualizovali na iOS 26.2 a reštartovali svoje zariadenia, pričom varujú, že Apple už opravil chyby WebKit použité v cielených útokoch. Obnovené výzvy prichádzajú, keď mnohí používatelia odolávajú dizajnu „Liquid Glass“ v iOS 26, čo spôsobilo spomalenie a rozšírené používanie staršieho softvéru. (Tom’s Guide)
Bezpečnostné poznámky Apple pre iOS 26.2 a iPadOS 26.2 uvádzajú, že spracovanie „škodlivo vytvoreného webového obsahu“ môže viesť k svojvoľnému vykonaniu kódu alebo poškodeniu pamäte. Apple uviedol, že si je vedomý správ, že tieto problémy „mohli byť zneužité v mimoriadne sofistikovanom útoku proti konkrétnym cieľovým jednotlivcom“ používajúcim verzie iOS pred iOS 26. (Apple Support)
Pieter Arntz, výskumník v oblasti malvér inteligencie v Malwarebytes, napísal, že Apple opravil dve „zero-day“ zraniteľnosti WebKit 12. decembra a že reštartovanie zariadenia odstráni „malvér rezidentný v pamäti“, pokiaľ nezískal perzistenciu. „Aktualizácia vyžaduje reštart, čo z toho robí výhru pre obe strany,“ napísal Arntz. (Malwarebytes)
Stránka s bezpečnostnými vydaniami Apple uvádza iOS 26.2 pre iPhone 11 a novšie, a iOS 18.7.3 pre staršie modely vrátane iPhone XS a iPhone XR, oba s dátumom 12. decembra 2025. Spoločnosť vydala záplaty v ten istý deň aj pre macOS, Safari, watchOS, tvOS a visionOS. (Apple Support)
The Independent uviedol, že chyby WebKit boli spojené s žoldnierskym spywarom — komerčným sledovacím softvérom, ktorý sa zvyčajne používa v presne cielených hackerských kampaniach — a že iOS 26 pridáva ochrany ako obranu proti odtlačkom prstov v Safari a ochranu pred rizikovými káblovými pripojeniami, spolu s funkciami proti podvodom. (The Independent)
WebKit je prehliadačový engine Apple a jeho slabiny sa môžu rozšíriť aj mimo Safari do ďalších aplikácií, ktoré zobrazujú webový obsah. „Zero-day“ je chyba zneužitá skôr, než väčšina používateľov nainštaluje opravu, čo útočníkom poskytuje krátke okno na útok.
Americká Národná bezpečnostná agentúra už predtým vyzývala používateľov, aby si z reštartovania urobili rutinu, pričom v mobilnom bezpečnostnom sprievodcovi uviedla: „Vypnite a zapnite zariadenie každý týždeň.“ Tento krok sám o sebe nie je liekom, ale môže prerušiť útoky, ktoré žijú len v pamäti, kým ich reštart neodstráni.
Apple odporúča používateľom aktualizovať cez Nastavenia > Všeobecné > Aktualizácia softvéru a uvádza, že zapnutie automatických aktualizácií je najjednoduchší spôsob, ako mať opravy stále k dispozícii. „Udržiavanie softvéru aktuálneho je jedna z najdôležitejších vecí, ktoré môžete urobiť,“ uviedol Apple. (Apple Support)
Pre ľudí, ktorí sa domnievajú, že by mohli byť vybraní za cieľ – aktivisti, novinári, vedúci pracovníci – Apple tiež poukazuje na režim Lockdown, voliteľnú „extrémnu ochranu“, ktorá obmedzuje niektoré aplikácie, webové stránky a funkcie, aby znížila povrch útoku. Apple tvrdí, že „väčšina ľudí sa nikdy nestane terčom útokov tohto druhu.“ (Podpora Apple)
Apple neuviedol podrobnosti o tom, kto bol cieľom, ako útoky fungovali, alebo či sa nástroje rozšírili mimo obetí, ktoré opísal. Samotné reštartovanie nie je náhradou za aktualizáciu; malvér, ktorý dosiahne perzistenciu, sa môže vrátiť a používatelia, ktorí odkladajú aktualizácie, zostávajú vystavení, keď sa objavia nové chyby.
Stĺpček vo Forbes z 18. januára tiež podporil posolstvo „vypnite a zapnite znova“, čím zopakoval výzvy na reštartovanie, keď majitelia iPhonov zvažujú prechod na iOS 26. (Forbes)
