Sårbarhet "noll dag" i iOS och OS X gör det möjligt att stjäla alla data från Apple Keychain

Experter från Indiana University och Georgia Institute of Technology i studie Apple operativsystem har identifierat den så kallade hot om "noll dag". Denna sårbarhet i säkerhetsprogrammet kan leda till stöld av användarens hemliga kod, eftersom tjänsten är sprucken Apple Keychain, hålla paret av inloggningar och lösenord.

Enligt sajten registret, Sårbarhetsforskare sade Apple i oktober förra året. Som svar på Apple bad om sex månader inte offentliggöra uppgifter om "hål" och låta specialister i bolaget för att lösa problemet. I februari 2015, den första arbete bort faran fortfarande var, och förmodligen till publiceringen av moratorium har förlängts.

Enligt universitetspersonal, kunde de knäcka den nya mekanismen för kommunikation mellan "sandlåda" applikationer. I iOS 8 Apple tillåten isolerade tidigare program skicka information till varandra om de konton och därmed underlätta användargodkännandeprocessen i tredjepartsprogram. Denna möjlighet och drog fördel av säkerhetsexperter USA, först skapa en speciell applikation, och sedan genom dem ha stulit lösenord för andra produkter från App Store och Mac App Store. Överraskande, gjorde moderatorer Apples App butiker inte har problem med godkännandet av skadlig programvara och pilotprogram med virus falla i båda butikerna.

Utvecklarna av populära program, som handlar om lösenord arrayer, svarade på sårbarhet olika sätt. Således, skaparen av 1Password sade att han ser inget sätt att skydda mot utnyttja hittas. Ett team som ansvarar för säkerheten för Chromium webbläsare alls kan överge Apple Keychain stöd Chrome för iOS och OS X.

Det är värt att notera att trots den uppenbara faran, inte sårbarhet inte automatiskt tillgång till alla lösenord på en gång. Om liksom andra virus i iOS och OS X, kräver detta hack någon åtgärd från användaren. En person måste ange ditt användarnamn och lösenord på egen hand. I detta fall kommer fönstret godkännande ersättas med en falsk, och data kommer att gå inte till ansökan men angriparna.

Runt samma sätt för att stjäla lösenord nyligen demonstreras En annan säkerhets expert. Kanske han utnyttjade samma sårbarhet, och personalen på amerikanska universitet. Även om det var begränsat till endast ett förfalskat fönster tillstånd iCloud, även om det sagt att det kommer att vara möjligt att förfalska popup-fönster. Hur som helst, efter många månader av väntan på ett svar från Apple denna person har redan lagt ut en detaljerad beskrivning av sårbarheten av webben, och hackare kan använda den när som helst.

Den enda rekommendation till säkerhetsstandardfraser kan bli i en sådan situation om installation av program från betrodda källor och läsa e-post från vänner bara kontakter.

via