Ένα θέμα ευπάθειας «zero day» στο iOS και OS X θα επιτρέψει να κλέψει όλα τα δεδομένα από το Apple Keychain

Οι ειδικοί από το Πανεπιστήμιο της Ιντιάνα και το Georgia Institute of Technology στη Μήλο λειτουργικά συστήματα μελέτης έχουν εντοπίσει τη λεγόμενη απειλή της «zero day». Αυτή η ευπάθεια στο λογισμικό ασφαλείας μπορεί να οδηγήσει στην κλοπή του μυστικού κωδικού του χρήστη, καθώς η υπηρεσία έχει ραγίσει η Apple Μπρελόκ, κρατώντας το ζεύγος των στοιχείων και κωδικών.

Σύμφωνα με την ιστοσελίδα η Εγγραφή, Οι ερευνητές ευπάθειας είπε ότι η Apple τον Οκτώβριο του περασμένου έτους. Σε απάντηση της Apple ζήτησε για έξι μήνες δεν δημοσίευσε λεπτομέρειες για την «τρύπα» και επιτρέπουν στους ειδικούς της εταιρείας να λύσει το πρόβλημα. Τον Φεβρουάριο του 2015, η πρώτη εργασία για την εξάλειψη του κινδύνου ακόμα ήταν, και ίσως να τη δημοσίευση του μορατόριουμ έχει επεκταθεί.

Σύμφωνα με το πανεπιστημιακό προσωπικό, ήταν σε θέση να ραγίσει το νέο μηχανισμό επικοινωνίας μεταξύ των «sandbox» εφαρμογές. Στο iOS 8 της Apple επιτρέπονται απομονωθεί παλαιότερων προγραμμάτων σε αμοιβαία πληροφορίες σχετικά με τους λογαριασμούς και με αυτόν τον τρόπο διευκολύνει τη διαδικασία αδειοδότησης των χρηστών σε εφαρμογές τρίτων. Αυτή η ευκαιρία και πήρε πλεονέκτημα των εμπειρογνωμόνων σε θέματα ασφάλειας των ΗΠΑ, πρώτα να δημιουργήσετε μια ειδική εφαρμογή, και στη συνέχεια μέσω αυτών που έχουν κλαπεί κωδικούς πρόσβασης άλλων προϊόντων του App Store και το Mac App Store. Παραδόξως, οι συντονιστές της Apple καταστήματα app δεν είχε προβλήματα με την έγκριση των κακόβουλων προγραμμάτων λογισμικού και πιλοτικά με ιούς εμπίπτουν σε δύο καταστήματα.

Οι προγραμματιστές των δημοφιλών εφαρμογών, που ασχολούνται με συστοιχίες κωδικούς πρόσβασης, ανταποκρίθηκαν στην ευπάθεια των διαφορετικών τρόπων. Έτσι, ο δημιουργός του 1Password είπε ότι δεν βλέπει διέξοδο για την προστασία από το εκμεταλλεύονται βρέθηκε. Μια ομάδα που είναι υπεύθυνη για την ασφάλεια του browser χρώμιο καθόλου να εγκαταλείψει την υποστήριξη της Apple Keychain στο Chrome για iOS και OS X.

Αξίζει να σημειωθεί ότι, παρά την προφανή κίνδυνο, ευπάθεια δεν αποκτούν αυτόματα πρόσβαση σε όλους τους κωδικούς πρόσβασης με τη μία. Σχετικά καθώς και άλλους ιούς στο iOS και OS X, αυτό το hack απαιτεί κάποια ενέργεια από το χρήστη. Ένα άτομο θα πρέπει να εισάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας για τη δική τους. Σε αυτήν την περίπτωση, το παράθυρο της άδειας θα πρέπει να αντικατασταθεί με ένα ψεύτικο, και τα δεδομένα που θα πάνε να μην την εφαρμογή, αλλά για να τους επιτιθέμενους.

Περίπου με τον ίδιο τρόπο για να κλέβουν τους κωδικούς πρόσβασης πρόσφατα αποδειχθεί Ένας άλλος ειδικός σε θέματα ασφάλειας. Ίσως ο ίδιος εκμεταλλεύτηκε την ίδια ευπάθεια, και το προσωπικό των πανεπιστημίων των ΗΠΑ. Ωστόσο, ενώ περιορίστηκε σε μόνο ένα πλαστό παράθυρο άδεια στο iCloud, αν και είπε ότι θα είναι δυνατόν να διαψεύσει οποιαδήποτε pop-up παράθυρο. Τέλος πάντων, μετά από πολλούς μήνες αναμονής για μια απάντηση από την Apple το πρόσωπο αυτό έχει ήδη θέσει σε λεπτομερή περιγραφή της ευπάθειας του Web, και οι χάκερ μπορούν να το χρησιμοποιήσουν ανά πάσα στιγμή.

Η μόνη σύσταση για ένα πρότυπο ασφαλείας φράσεις μπορεί να γίνει σε μια τέτοια κατάσταση σχετικά με την εγκατάσταση των εφαρμογών από αξιόπιστες πηγές και την ανάγνωση μηνυμάτων ηλεκτρονικού ταχυδρομείου από τους φίλους μόνο επαφών.

μέσω