Компания Apple объявила о новых мерах безопасности, которые реализованы в macOS 10.15 Catalina. Изменения повысят защищенность запускаемых приложений и обеспечат пользователям лучший контроль над разрешениями программ.

Так, новая ОС будет работать на базе выделенного системного тома в режиме read-only. Это позволит отделить критические данные от остальной информации на компьютере и заблокирует возможность их изменения. Разработчики также создали собственное пространство для запуска драйверов и прочего ПО для периферийных устройств. Ранее эти компоненты выполняли код внутри системы, используя расширения ядра (kernel extension, kext). Теперь они не смогут влиять на работу ОС.

Утилита Gatekeeper, которая удостоверяет легитимность выполняемых программ, станет также сканировать ПО на наличие известных проблем безопасности. Проверка будет проводиться при первом запуске приложений и периодически повторяться при дальнейшей работе. Новая механика защитит пользователя от уязвимостей в ПО известных разработчиков. Ранее эксперты продемонстрировали, как в отсутствие таких проверок Gatekeeper допускает выполнение стороннего кода в macOS Mojave.

Важные изменения коснулись и пользовательского опыта при работе с новой macOS. Система будет запрашивать дополнительное подтверждение, прежде чем открыть какому-либо приложению данные в папках «Рабочий стол», «Документы» и «Загрузки». Таким же образом будет ограничен доступ к iCloud Drive, сторонним облачным хранилищам и съемным носителям. Кроме того, пользователь должен будет подтверждать запись ключей, снятие скриншотов и запись видео с экрана компьютера.

Еще одна новая функция перекочевала на Mac с iOS-устройств. Речь о блокировке активации, которая появилась на iPhone и iPad в 2013 году с выходом iOS 7, позволяя удаленно отключить утерянный или украденный гаджет. Теперь такая возможность также будет у владельцев iMac Pro, MacBook Pro, Mac mini и MacBook Air, вышедших в 2018 году и позже.

Наконец, браузер Safari станет предупреждать пользователей, если выбранный ими пароль не отвечает требованиям безопасности. В этом случае программа предложит варианты более устойчивых комбинаций.

Параллельно с объявлением новых функций Apple прекратила поддержку TLS-сертификатов на базе SHA-1. Этот алгоритм шифрования, от которого уже отказались Google, Mozilla, Facebook и Microsoft, давно признан небезопасным. Компания опубликовала новые критерии, без соблюдения которых сертификаты не будут приниматься в iOS 13 и macOS Catalina:

  • шифрование на базе SHA-2;
  • использование RSA-ключей длиной не менее 2048 бит;
  • представление DNS-имени сервера в поле SubjectAlternative Name вместо CommonName.

Все сертификаты, выпущенные после 1 июля 2019 года, также должны указывать идентификатор id-kp-serverAuth в поле ExtendedKeyUsage и иметь срок действия не более 825 дней.

Категории: Главное, Кибероборона