Vulnerabilitatea „ziua zero“ în iOS și OS X va permite să fure toate datele din Apple Keychain
Makradar De Tehnologie / / December 19, 2019
Experți de la Indiana University si Institutul de Tehnologie din Georgia în sistemele de operare Apple studiu au identificat așa-numita amenințare de „ziua zero“. Aceasta vulnerabilitate în software-ul de securitate ar putea duce la furtul codului secret al utilizatorului, deoarece serviciul este spart Apple a keychain, păstrând perechea de utilizator și parole.
Potrivit site-ului Registrul, Cercetatorii de vulnerabilitate a declarat Apple în luna octombrie a anului trecut. Ca răspuns la Apple a cerut timp de șase luni, nu a publicat detalii despre „gaura“ și să permită specialiștilor companiei pentru a rezolva problema. În februarie 2015, prima lucrare pentru a elimina pericolul încă erau, și, probabil, la publicarea moratoriului a fost extins.
Conform personalului universitar, au fost capabili de a sparge noul mecanism de comunicare între aplicații „sandbox“. În iOS 8 Apple a permis programelor anterioare izolate trimit reciproc informații despre conturile și, prin urmare, a facilita procesul de autorizare a utilizatorilor în aplicații de la terți. Această oportunitate și a profitat de experți de securitate din SUA, creați mai întâi o aplicație specială, și apoi prin ei au furat parolele de alte produse din App Store și App Store Mac. Surprinzător, moderatorii Apple a magazinele de aplicații nu au avut probleme cu aprobarea programelor software și pilot rău intenționate cu viruși se încadrează în ambele magazine.
Dezvoltatorii de aplicații populare, care se ocupă cu parole matrice, a răspuns la vulnerabilitatea diferitelor moduri. Astfel, creatorul 1Password a spus că nu vede nici o modalitate de a proteja împotriva exploit găsit. O echipă care este responsabilă pentru siguranța browser-ul Chromium toate pot abandona asistența Apple keychain în Chrome pentru iOS și OS X.
Este de remarcat faptul că, în ciuda pericolului aparent, vulnerabilitatea nu obține automat acces la toate parolele dintr-o dată. Despre precum și alte virusuri în iOS și OS X, acest hack necesită o anumită acțiune din partea utilizatorului. O persoană va trebui să introduceți numele de utilizator și parola pe cont propriu. În acest caz, fereastra de autorizare va fi înlocuit cu un fals, iar datele vor merge nu la cerere, ci a atacatorilor.
În jurul același mod de a fura parolele recent a demonstrat Un alt expert de securitate. Poate că el a exploatat aceeași vulnerabilitate ca personalul universităților din SUA. Cu toate acestea, în timp ce acesta a fost limitat la numai o fereastră de autorizare falsificate în iCloud, deși a spus că va fi posibil să falsifice orice fereastră pop-up. Oricum, după mai multe luni de așteptare pentru un răspuns de la Apple această persoană a stabilit deja o descriere detaliată a vulnerabilității Web, și hackerii pot folosi în orice moment.
Singura recomandare pentru o fraze standard de securitate pot deveni într-o astfel de situație o cu privire la instalarea de aplicații din surse de încredere și citirea e-mailuri numai de la prieteni contacte.
prin