Специалисты из Индианского университета и Технологического института Джорджии в ходе исследования операционных систем Apple выявили так называемую угрозу «нулевого дня». Такая уязвимость в безопасности программного обеспечения может привести к краже всех секретных кодов пользователей, так как взламывается сервис Apple Keychain, хранящий пары логинов и паролей.
По данным сайта The Register, об уязвимостях исследователи сообщили Apple еще в октябре прошлого года. В ответ Apple попросила шесть месяцев не публиковать подробности о «дыре» и дать возможность специалистам компании решить проблему. В феврале 2015-го работы по устранению опасности все еще велись, и, вероятно, мораторий на публикацию был продлен.
По словам сотрудников университетов, им удалось взломать новый механизм обмена данными между «песочницами» приложений. В iOS 8 Apple разрешила изолированным ранее программам передавать друг другу информацию об учетных записях и тем самым облегчила процесс авторизации пользователя в сторонних приложениях. Этой возможностью и воспользовались американские эксперты по безопасности, сначала создав специальные приложения, а затем выкрав через них пароли других продуктов App Store и Mac App Store. Удивительно, но у модераторов магазинов приложений Apple не возникло вопросов при одобрении вредоносного ПО и экспериментальные программы с вирусами попали в оба магазина.
Разработчики популярных приложений, имеющие дело с массивами паролей, отреагировали на уязвимость по-разному. Так, создатель 1Password заявил, что не видит способа защититься от найденного эксплойта. А команда, отвечающая за безопасность браузера Chromium, вовсе может отказаться от поддержки Apple Keychain в браузере Chrome для iOS и OS X.
Стоит отметить, что, несмотря на кажущуюся опасность, уязвимость не позволяет автоматически получить доступ ко всем паролям одновременно. Примерно как и остальные вирусы на iOS и OS X, данный взлом требует некоторых действий от самого пользователя. Человеку нужно будет вводить логин и пароль самостоятельно. При этом окно авторизации будет заменено на фальшивое, а данные уйдут не в приложение, а к злоумышленникам.
Примерно такой же способ кражи паролей совсем недавно продемонстрировал еще один специалист по безопасности. Возможно, он эксплуатировал ту же самую уязвимость, что и сотрудники американских университетов. Правда, пока что он ограничился только подделанным окном авторизации в iCloud, хотя и заявлял, что сфальсифицировать можно будет любое всплывающее окно. Так или иначе, после многомесячного ожидания ответа от Apple этот человек уже выложил детальное описание уязвимости в Сеть, и хакеры могут им воспользоваться в любой момент.
Единственными советами касательно безопасности в такой ситуации могут стать лишь стандартные фразы про установку приложений из проверенных источников и чтение писем исключительно от знакомых контактов.
Лучшие предложения
10 пар зимней обуви с хорошими скидками на «чёрной пятнице»
21 комплект постельного белья, который преобразит вашу спальню
Надо брать: робот-пылесос Roborock Q5 Pro со скидкой 76%
Гидравлический домкрат с высоким рейтингом отдают со скидкой 35% на AliExpress
23 нарядных платья, которые можно надеть на новогодний корпоратив
10 рюкзаков для ноутбука, которые не боятся мокрого снега и дождя
5 милых мягких игрушек для тех, кто любит мультфильмы Хаяо Миядзаки
Самый популярный компрессор от Baseus отдают за полцены
Коля идёт на смену! Как проходит первый день новичка на складе Ozon
Что подарить ребёнку? 10 идей для детей от 0 до 10 лет
РекламаРак груди во время беременности: что нужно знать
Экология, инфраструктура и перспективы: 3 причины переехать на север Москвы