Zavřít reklamu

Skupina šesti výzkumných pracovníků v říjnu 2014 úspěšně obešla všechny bezpečnostní mechanizmy Applu pro umístění aplikace do Mac App Storu a App Storu. Prakticky by tak mohli do jablečných zařízení dostat škodlivé aplikace, které by dokázaly získat velice cenné informace. Po dohodě s Applem neměla být tato skutečnost po dobu zhruba šesti měsíců zveřejněna, což výzkumníci dodrželi.

Čas od času se o nějaké té bezpečnostní díře dozvíme, každý systém je má, ale tahle je opravdu velká. Útočníkovi umožňuje skrze oba App Story protlačit aplikaci, která může ukrást heslo z klíčenky pro iCloud, aplikaci Mail a všechna hesla uchovávaná v prohlížeči Google Chrome.

[youtube id=“S1tDqSQDngE“ width=“620″ height=“350″]

Chyba může malwaru umožnit získat heslo z prakticky každé aplikace, ať už předinstalované nebo třetí strany. Skupině se podařilo kompletně překonat sandboxing, a získala tak data z nejpoužívanějších aplikací jako Everenote nebo Facebook. Celá záležitost je popsána v dokumentu „Unauthorized Cross-App Resource Access on MAC OS X and iOS“.

Apple se k záležitosti veřejně nevyjádřil a od výzkumníků si pouze vyžádal podrobnější informace. Google sice integraci klíčenky odebral, avšak problém jako takový to neřeší. Vývojáři aplikace 1Password potvrdili, že nemohou 100% zaručit bezpečnost uchovávaných dat. Jakmile se útočník dostane do vašeho zařízení, už to není vaše zařízení. S opravou musí přijít Apple na úrovni systému.

Zdroje: The Register, AgileBits, Cult of Mac
Témata: ,
.