Zraniteľnosti "zero day" v iOS a OS X umožní ukradnúť všetky dáta z Apple Keychain

Odborníci z Indiana University a Georgia Institute of Technology v študijných Apple operačné systémy určili tzv hrozbu "nulovej deň". Táto zraniteľnosť v bezpečnostný softvér by mohli viesť k odcudzeniu tajného kódu užívateľa, pretože táto služba je prasknutá Apple Kľúčenka, udržiavanie dvojica prihlasovacích údajov a hesiel.

podľa miesta registerVýskumníci zraniteľnosti uviedol Apple v októbri minulého roka. V reakcii na Apple požiadal o šesť mesiacov nezverejnil podrobnosti o "diery" a umožniť špecialisti spoločnosti na vyriešenie problému. Vo februári 2015, prvá práca na odstránenie nebezpečenstva stále boli, a pravdepodobne zverejnenie moratória bol rozšírený.

Podľa pracovníkov univerzity, sa im podarilo rozlúštiť nový mechanizmus komunikácie medzi aplikáciami "Pieskovisko". V iOS 8 Apple povolený izolované staršie programy posielať si navzájom informácie o účtoch a tým uľahčiť proces autorizácie používateľa v aplikáciách tretích strán. Táto príležitosť a využil bezpečnostných expertov v USA, najprv vytvoriť špeciálne aplikácie, a potom cez ne ukradol heslá iných produktov App Store a Mac App Store. Je prekvapivé, že moderátori Apple App obchody nemal problémy s súhlasom škodlivým softvérom a pilotných programov sa vírusy dostanú do oboch obchodov.

Vývojári z populárnych aplikácií, ktoré sa zaoberajú hesiel poľa, reagoval na zraniteľnosti rôznych spôsobov. To znamená, že tvorca 1Password povedal, že nevidí žiadny spôsob, ako sa chrániť proti zneužitiu nájdený. Tím, ktorý je zodpovedný za bezpečnosť prehliadača Chromium vôbec môže opustiť podporu Apple Prívesok na kľúče v Chrome pre iOS a OS X.

Stojí za zmienku, že aj napriek zjavné nebezpečenstvo, zraniteľnosti nie je automaticky prístup ku všetkým heslám naraz. Asi rovnako ako iné vírusy v iOS a OS X, tento hack vyžaduje nejakú akciu zo strany používateľa. Osoba bude musieť zadať svoje prihlasovacie meno a heslo na vlastnú päsť. V tomto prípade bude okno povolenie nahradiť falzifikát, a dáta budú nechoďte do aplikácie, ale útočníkom.

Okolo rovnakým spôsobom ukradnúť heslá nedávno preukázaná Ďalšie bezpečnostný expert. Možno, že využil rovnakú chybu, a pracovníci amerických univerzít. Avšak, aj keď bol obmedzený len na kovanú okná autorizáciu v iCloudu, keď to hovoril, že to bude možné sfalšovať akýkoľvek pop-up okno. Mimochodom, po mnohých mesiacoch čakania na odpoveď od Apple táto osoba už stanovený podrobný opis zraniteľnosti webu, a hackeri ho použiť kedykoľvek.

Jediné odporúčanie pre zabezpečenie štandardných viet sa môže stať v takejto situácii o inštaláciu aplikácií z dôveryhodných zdrojov a čítanie e-mailov od priateľov len kontakty.

via