Daniel Hruška Skupina šesti výzkumných pracovníků v říjnu 2014 úspěšně obešla všechny bezpečnostní mechanizmy Applu pro umístění aplikace do Mac App Storu a App Storu. Prakticky by tak mohli do jablečných zařízení dostat škodlivé aplikace, které by dokázaly získat velice cenné informace. Po dohodě s Applem neměla být tato skutečnost po dobu zhruba šesti měsíců zveřejněna, což výzkumníci dodrželi.
Čas od času se o nějaké té bezpečnostní díře dozvíme, každý systém je má, ale tahle je opravdu velká. Útočníkovi umožňuje skrze oba App Story protlačit aplikaci, která může ukrást heslo z klíčenky pro iCloud, aplikaci Mail a všechna hesla uchovávaná v prohlížeči Google Chrome.
[youtube id=“S1tDqSQDngE“ width=“620″ height=“350″]
Chyba může malwaru umožnit získat heslo z prakticky každé aplikace, ať už předinstalované nebo třetí strany. Skupině se podařilo kompletně překonat sandboxing, a získala tak data z nejpoužívanějších aplikací jako Everenote nebo Facebook. Celá záležitost je popsána v dokumentu „Unauthorized Cross-App Resource Access on MAC OS X and iOS“.
Apple se k záležitosti veřejně nevyjádřil a od výzkumníků si pouze vyžádal podrobnější informace. Google sice integraci klíčenky odebral, avšak problém jako takový to neřeší. Vývojáři aplikace 1Password potvrdili, že nemohou 100% zaručit bezpečnost uchovávaných dat. Jakmile se útočník dostane do vašeho zařízení, už to není vaše zařízení. S opravou musí přijít Apple na úrovni systému.
Chyba to jiste je, ale porad zalezi na cloveku jake aplikace si nainstaluje..
a pokud si budu instalovat aplikace z ofiko App Storu na který se dostanu z přednastavených „záložek“ iPhonu, nemám žádný „kreknutý“ iOS systém, ohrozí/ohrozilo to i mou maličkost, ptm. můj iPhone s iOS 8,3? Dle článku mám pocit, že ano… A jaké aplikace si instaluji? Z volby „zdarma“.
Právě, že tady jde o to, že se tyhle malware aplikace mohou dostat do App Storu oficiální cestou a uživatel si je pak stáhne s tím, že jsou v pohodě, když prošly kontrolou Applu. Takže raději neinstalovat aplikace od neznámých vývojářů. Tak to alespoň chápu já.
Přesně jak říkáte. Každopádně mě spíš zaráží to, pokud je teda ta informace pravdivá, že Apple o tom údajně ví už přes půl roku a nic s tím neudělal.
Odhaduji, že kontrolu v App Storu asi Apple po získání informace v tichosti doplnil a riziko je v tomto směru u IPhone/iPad minimální.
Ovšem u MACu to tak zanedbatelné být nemusí, tam se aplikace mimo MacAppStore instalují celkem běžně.