Sårbarhet "zero day" i iOS og OS X vil tillate å stjele alle data fra Apple nøkkelring

Eksperter fra Indiana University og Georgia Institute of Technology i studien Apple operativsystemer har identifisert den såkalte trusselen om "zero day". Dette sikkerhetsproblemet i sikkerhetsprogramvare kan føre til tyveri av brukerens hemmelige kode, som tjenesten er sprukket Apple nøkkelring, holder de to brukernavn og passord.

Ifølge nettstedet The Register, Sårbarhet Forskerne sier Apple i oktober i fjor. Som svar på Apple ba om seks måneder ikke publisere detaljer om "hull" og la spesialistene i selskapet for å løse problemet. I februar 2015 til første arbeids fjerne faren fortsatt var, og sannsynligvis til utgivelsen av moratoriet er utvidet.

Ifølge universitetsansatte, var de i stand til å knekke den nye mekanismen for kommunikasjon mellom "sandbox" applikasjoner. I iOS 8 Apple tillatt isolert tidligere programmer sende hverandre informasjon om regnskapet og dermed legge til rette for brukergodkjenningsprosessen i tredjepartsprogrammer. Denne muligheten og tok fordel av den amerikanske sikkerhetseksperter, først opprette en spesiell applikasjon, og deretter gjennom dem som har stjålet passord til andre produkter av App Store og Mac App Store. Overraskende, gjorde moderatorer Apple app butikker ikke har problemer med godkjenning av ondsinnet programvare og pilotprogrammer med virus falle i begge butikkene.

Utviklerne av populære programmer, som arbeider med passord matriser, svarte på sårbarheten til ulike måter. Dermed skaperen av 1Password sa at han ser ingen måte å beskytte mot utnytte funnet. Et team som er ansvarlig for sikkerheten til Chromium nettleseren i det hele tatt kan forlate Apple nøkkelring støtte i Chrome for iOS og OS X.

Det er verdt å merke seg at til tross for den tilsynelatende fare, ikke sårbarheten ikke automatisk få tilgang til alle passordene på en gang. Om så vel som andre virus i iOS og OS X krever dette hack noen handling fra brukeren. En person må oppgi ditt brukernavn og passord på egenhånd. I dette tilfellet vil fullmakten vindu byttes ut med en falsk, og dataene vil gå ikke til programmet, men til angriperne.

Rundt samme måte å stjele passord nylig demonstrert En annen sikkerhetsekspert. Kanskje han utnyttet den samme sårbarheten, og de ansatte på amerikanske universiteter. Men mens det var begrenset til bare en forfalsket fullmakt vindu i iCloud, men det sies at det vil være mulig å forfalske noen pop-up vindu. Uansett, etter mange måneder med venting på svar fra Apple denne personen har allerede lagt ut en detaljert beskrivelse av sårbarheten på Internett, og hackere kan bruke den når som helst.

Den eneste anbefalingen for en sikkerhetsstandard setninger kan bli i en slik situasjon om installasjon av programmer fra pålitelige kilder og lese e-post fra venner bare kontakter.

via