Специалисты из Индианского университета и Технологического института Джорджии в ходе исследования операционных систем Apple выявили так называемую угрозу «нулевого дня». Такая уязвимость в безопасности программного обеспечения может привести к краже всех секретных кодов пользователей, так как взламывается сервис Apple Keychain, хранящий пары логинов и паролей.
По данным сайта The Register, об уязвимостях исследователи сообщили Apple еще в октябре прошлого года. В ответ Apple попросила шесть месяцев не публиковать подробности о «дыре» и дать возможность специалистам компании решить проблему. В феврале 2015-го работы по устранению опасности все еще велись, и, вероятно, мораторий на публикацию был продлен.
По словам сотрудников университетов, им удалось взломать новый механизм обмена данными между «песочницами» приложений. В iOS 8 Apple разрешила изолированным ранее программам передавать друг другу информацию об учетных записях и тем самым облегчила процесс авторизации пользователя в сторонних приложениях. Этой возможностью и воспользовались американские эксперты по безопасности, сначала создав специальные приложения, а затем выкрав через них пароли других продуктов App Store и Mac App Store. Удивительно, но у модераторов магазинов приложений Apple не возникло вопросов при одобрении вредоносного ПО и экспериментальные программы с вирусами попали в оба магазина.
Разработчики популярных приложений, имеющие дело с массивами паролей, отреагировали на уязвимость по-разному. Так, создатель 1Password заявил, что не видит способа защититься от найденного эксплойта. А команда, отвечающая за безопасность браузера Chromium, вовсе может отказаться от поддержки Apple Keychain в браузере Chrome для iOS и OS X.
Стоит отметить, что, несмотря на кажущуюся опасность, уязвимость не позволяет автоматически получить доступ ко всем паролям одновременно. Примерно как и остальные вирусы на iOS и OS X, данный взлом требует некоторых действий от самого пользователя. Человеку нужно будет вводить логин и пароль самостоятельно. При этом окно авторизации будет заменено на фальшивое, а данные уйдут не в приложение, а к злоумышленникам.
Примерно такой же способ кражи паролей совсем недавно продемонстрировал еще один специалист по безопасности. Возможно, он эксплуатировал ту же самую уязвимость, что и сотрудники американских университетов. Правда, пока что он ограничился только подделанным окном авторизации в iCloud, хотя и заявлял, что сфальсифицировать можно будет любое всплывающее окно. Так или иначе, после многомесячного ожидания ответа от Apple этот человек уже выложил детальное описание уязвимости в Сеть, и хакеры могут им воспользоваться в любой момент.
Единственными советами касательно безопасности в такой ситуации могут стать лишь стандартные фразы про установку приложений из проверенных источников и чтение писем исключительно от знакомых контактов.
Лучшие предложения
15 ужасных товаров для Хеллоуина
Эти средства с распродажи корейской косметики вы захотите применять каждый день
Забираем топовый iPhone 17 Pro Max со скидкой 31%
Быстрая зарядка от Baseus для всех вилок и розеток — со скидкой 64%
Надо брать: зимние кроссовки от RAX со скидкой 67%
Популярный стайлер от Tuvio купили 65 тысяч раз. Сейчас на него скидка 66%
Dreame отдают робот-пылесос со станцией самоочистки со скидкой 49%
42 действительно нужных товара со скидками до 69% на AliExpress
Эксперты рассказали о пользе киберспорта для детей
«Задача в работе»: топ-5 популярных таск-трекеров и в чём их особенности
Как студенты-архитекторы улучшают благоустройство городов, не отрываясь от учёбы: 4 доступных формата
Шерсть из каждого угла: 6 важных правил уборки для хозяев котиков