Уязвимост "нула дни" в IOS и OS X ще ви позволи да открадне всички данни от Apple Keychain
Makradar От технологии / / December 19, 2019
Експерти от университета в Индиана и Технологичния институт на Джорджия в Apple операционни системи на проучването са установили т.нар заплахата от "нула дни". Тази уязвимост в софтуера за сигурност може да доведе до кражба на таен код на потребителя, тъй като услугата е напукан Apple Keychain, поддържане на двойката вход и пароли.
Според сайта РегистърътУязвимост изследователи заявиха, Apple през октомври миналата година. В отговор на Apple попита за шест месеца не публикува подробности за "дупката" и да позволи на специалистите на фирмата за решаване на проблема. През февруари 2015 г., първата работа за отстраняване на опасността все още, а може би и за публикуването на мораториума е удължен.
Според персонала на университетите, те са в състояние да се справи новият механизъм за комуникация между "пясък" приложения. В IOS 8 Apple позволен изолирани предишни програми изпращат помежду си информация за сметките и по този начин да се улесни процеса на разрешение за употреба в приложения на трети страни. Тази възможност и се възползва от експертите по сигурността на САЩ, първо се създаде специална молба, а след това чрез тях да е откраднал паролите на други продукти от App Store и Mac App Store. Изненадващо, модератори Apple App магазини не са имали проблеми с одобрението на злонамерен софтуер и пилотни програми с вируси попадат в двата магазина.
Разработчиците на популярни приложения, които се занимават с пароли масиви, отговорили на уязвимостта на различни начини. По този начин, създател на 1Password каза, че не вижда начин да се предпазите от експлойта намерен. Екип, който е отговорен за безопасността на Chromium браузър изобщо може да се откаже от подкрепата Apple Keychain в Chrome за IOS и OS X.
Заслужава да се отбележи, че въпреки очевидната опасност, уязвимост не означава автоматично да получат достъп до всички пароли наведнъж. За както и други вируси в IOS и OS X, тази рана изисква някакво действие от страна на потребителя. Едно лице ще трябва да въведете вашето име и парола от тяхната собствена. В този случай, прозореца на разрешение ще бъде заменен с фалшив, а данните ще отидат не до приложението, но до нападателите.
Около един и същ начин за кражба на пароли наскоро демонстрира Друг експерт по сигурността. Може би той използва една и съща уязвимостта, а персоналът на американските университети. Въпреки това, докато той е бил ограничен само до един прозорец ковано разрешение в iCloud, макар че той каза, че това ще бъде възможно да фалшифицирате изскачащ прозорец. Както и да е, след дълги месеци на очакване на отговор от страна на Apple този човек вече е изложена подробно описание на уязвимостта на мрежата, и хакери могат да го използват по всяко време.
Единствената препоръка за стандартни фрази за сигурност може да се превърне в такава ситуация за инсталирането на приложения от надеждни източници и четене на електронни писма от приятели, само контакти.
чрез