Luka „zero day” w iOS i OS X pozwoli wykraść wszystkie dane z Apple Keychain

Eksperci z Uniwersytetu Indiana i Georgia Institute of Technology w badaniu systemów operacyjnych firmy Apple zidentyfikowali tzw zagrożenia „zero day”. Ta luka w oprogramowaniu bezpieczeństwa może doprowadzić do kradzieży tajnego kodu użytkownika, jak usługa jest pęknięty jabłko Brelok, utrzymując parę loginów i haseł.

Według strony RejestrNaukowcy usterce powiedział firmy Apple w październiku ubiegłego roku. W odpowiedzi na Apple poproszony przez sześć miesięcy nie opublikuje dane o „dziury” i pozwolić specjaliści z firmy, aby rozwiązać ten problem. W lutym 2015, pierwsza praca, aby usunąć zagrożenie nadal były i prawdopodobnie do publikacji moratorium został przedłużony.

Według pracowników uczelni, byli w stanie złamać nowy mechanizm komunikacji pomiędzy aplikacjami „sandbox”. W iOS 8 Jabłko dozwolony samodzielnie wcześniejsze programy przekazują sobie wzajemnie informacje o rachunkach, a tym samym ułatwienie procesu autoryzacji użytkownika w aplikacjach firm trzecich. To okazja i skorzystał z ekspertów bezpieczeństwa USA, najpierw utworzyć specjalną aplikację, a następnie przez nich o kradzież haseł innych wyrobów z App Store i Mac App Store. Niespodziewanie, moderatorów Jabłko sklepy z aplikacjami nie miał problemów z zatwierdzeniem złośliwym oprogramowaniem i pilotażowych programów z wirusami wpaść w obu sklepach.

Zajmujących tablic z hasłami odpowiedzi na podatność różnych sposobów Twórcy popularnych aplikacji. Zatem, twórca 1Password powiedział, że nie widzi w celu ochrony przed exploit znaleziony. Zespół, który jest odpowiedzialny za bezpieczeństwo przeglądarki Chromium w ogóle można porzucić wsparcie jabłko Brelok w Chrome dla iOS i OS X.

Warto zauważyć, że pomimo pozornej niebezpieczeństwie, luka nie automatycznie uzyskać dostęp do wszystkich haseł na raz. O, jak również inne wirusy w iOS i OS X, to Hack wymaga działań ze strony użytkownika. Osoba będzie musiał wprowadzić swój login i hasło na własną rękę. W tym przypadku okno autoryzacji zostanie zastąpione fałszywe, a dane nie trafi do wniosku, ale do atakujących.

W tym samym sposób na kradzież haseł niedawno wykazać Kolejny ekspert bezpieczeństwa. Może on wykorzystać tę samą lukę, a pracownicy uniwersytetów amerykańskich. Jednakże, o ile zostało ono ograniczone tylko sfałszowanym oknie autoryzacji w iCloud, choć mówi się, że będzie to możliwe, aby fałszować okno pop-up. W każdym razie, po wielu miesiącach oczekiwania na odpowiedź od Apple, ta osoba już rozplanowane szczegółowy opis podatności sieci, a hakerzy mogą wykorzystać go w dowolnym momencie.

Jedyne zalecenie dotyczące bezpieczeństwa standardowych zwrotów może stać się w takiej sytuacji o instalacji aplikacji z zaufanych źródeł i czytanie e-maili od znajomych tylko kontakty.

przez