Zranitelnosti „zero day“ v iOS a OS X umožní ukrást všechna data z Apple Keychain
Makradar Technologie / / December 19, 2019
Odborníci z Indiana University a Georgia Institute of Technology v studijních Apple operační systémy určily tzv hrozbu „nulové den“. Tato zranitelnost v bezpečnostní software by mohly vést k odcizení tajného kódu uživatele, protože tato služba je prasklá Apple Klíčenka, udržování dvojice přihlašovacích údajů a hesel.
Podle místa rejstříkVýzkumníci zranitelnosti uvedl Apple v říjnu loňského roku. V reakci na Apple požádal o šest měsíců nezveřejnil podrobnosti o „díry“ a umožnit specialisté společnosti k vyřešení problému. V únoru 2015, první práce na odstranění nebezpečí stále byly, a pravděpodobně zveřejnění moratoria byl rozšířen.
Podle pracovníků univerzity, se jim podařilo rozluštit nový mechanismus komunikace mezi aplikacemi „Pískoviště“. V iOS 8 Apple povolený izolované starší programy posílat si navzájem informace o účtech a tím usnadnit proces autorizace uživatele v aplikacích třetích stran. Tato příležitost a využil bezpečnostních expertů v USA, nejprve vytvořit speciální aplikace, a pak přes ně ukradl hesla jiných produktů App Store a Mac App Store. Je překvapivé, že moderátoři Apple App obchody neměl problémy s souhlasem škodlivým softwarem a pilotních programů se viry dostanou do obou obchodů.
Vývojáři z populárních aplikací, které se zabývají hesel pole, reagoval na zranitelnosti různých způsobů. To znamená, že tvůrce 1Password řekl, že nevidí žádný způsob, jak se chránit proti zneužití nalezen. Tým, který je zodpovědný za bezpečnost prohlížeče Chromium vůbec může opustit podporu Apple Přívěsek na klíče v Chrome pro iOS a OS X.
Stojí za zmínku, že i přes zjevné nebezpečí, zranitelnosti není automaticky přístup ke všem heslům najednou. Asi stejně jako jiné viry v iOS a OS X, tento hack vyžaduje nějakou akci ze strany uživatele. Osoba bude muset zadat své přihlašovací jméno a heslo na vlastní pěst. V tomto případě bude okno povolení nahradit padělek, a data budou nechoďte do aplikace, ale útočníkům.
Kolem stejným způsobem ukrást hesla nedávno prokázána Další bezpečnostní expert. Možná, že využil stejnou chybu, a pracovníci amerických univerzit. Nicméně, i když byl omezen pouze na kovanou okna autorizaci v iCloudu, když to říkal, že to bude možné zfalšovat jakýkoli pop-up okno. Mimochodem, po mnoha měsících čekání na odpověď od Apple tato osoba již stanoven podrobný popis zranitelnosti webu, a hackeři jej použít kdykoliv.
Jediné doporučení pro zabezpečení standardních vět se může stát v takové situaci o instalaci aplikací z důvěryhodných zdrojů a čtení e-mailů od přátel jen kontakty.
via