Apple už půl roku ignoruje chybu, kvůli které lze z iOS a OS X vytáhnout hesla

18. 6. 2015

Sdílet

 Autor: Redakce

Aplikace na jablečných platformách běží v sandboxu, jakési pomyslné skořápce, díky které nemůže jedna aplikace přistupovat k datům aplikace jiné. Navzájem se dorozumívají skrz rozhraní navržené Applem a právě v nich je velká díra. Všimlo si jí šest výzkumníků z Indiana University, Georgia Institue of Technology a Peking University.

" width="640" frameborder="0" height="360">

Vědcům se podařilo vložit do App Storu aplikaci s kódem, který dokázal v systému šmejdit a skrz rozhraní pro klíčenku iCloud Keychain nebo rozhraní WebSockets získat přístupová hesla a autentizační tokeny k aplikacím. Malware prošel schvalovacím procesem v App Storu, což je jeden problém. Druhý se týká meziaplikační komunikace, kterou Apple nemá zabezpečenou.

" width="640" frameborder="0" height="360">

Výzkumníci firmu na problémy upozornili už před půl rokem, ale Apple na ně nereagoval a chybu po celou dobu neopravil. Mezi napadenými programy byl i Chrome nebo 1Password, ale jejich tvůrci se vyjádřili v tom smyslu, že z jejich strany nemůžou opravu přinést, díru musí záplatovat Apple.

" width="640" frameborder="0" height="360">

Zranitelnost se týká iOS i OS X. Získat hesla nebo tokeny se podařilo z Gmailu, Google Drivu, Facebooku, Twitteru, Chromu, Evernotu, Pushbulletu, napadeny byly také aplikace Dropbox, Pinterest, Instagram, Whatsapp či Kindle.

bitcoin_skoleni

 

Zdroj: Celý výzkum v PDF via The Register