Breșe de securitate din iOS și OS X permit aplicațiilor otrăvite să fure parole și alte date

0
666

O echipă formată din șase cercetători în domeniul securității cibernetice de la Universitatea Indiana, Georgia Tech și Universitatea Peking au publicat un raport detaliat în cadrul căruia prezintă o serie de breșe de securitate care permit aplicațiilor otrăvite, publicate pe App Store, să obțină acces neautorizat la date sensibile ale utilizatorilor de iPhone, iPad și Mac. Echipa a demonstrat că vulnerabilitatea din sistemele de operare iOS și OS X permite furarea și a parolelor iCloud, simbolurilor de autentificare, a parolelor web salvate în Google Chrome, dar și a altor date cu caracter personal sau confidențial.

În raportul de treisprăzece pagini intitulat „Acces neautorizat la resursa aplicației pe Mac OS X și iOS” este specificat faptul că serviciile de interacționare inter-aplicație, de la Portchei la WebSocket pe OS X, la Schema URL pe OS X și iOS, pot fi exploatate pentru a fura informații personale și parole, inclusiv pe cele stocate în aplicații de la terți ce s-au dovedit a fi foarte sigure, cum ar fi 1Password.

Am spart complet serviciul portchei – folosit pentru stocarea parolelor și a altor date personale pentru diferite aplicații Apple – și recipientele sandbox pe OS X și am identificat, de asemenea, un nou punct slab în mecanismele de comunicație inter-aplicație din OS X și iOS, care poate fi exploatat pentru a fura date confidențiale de la Evernote, Facebook și alte aplicații de profil înalt.

Printre diferitele vulnerabilități descoperite în mecanismele de comunicații (și nu doar) ale iOS și OS X, identificate ca fiind „slăbiciunile XARA”, se numără furarea de parole din Portchei, interceptarea IPC, jefuirea schemei și spargerea recipientului. Aplicațiile și serviciile afectate sunt iCloud, Gmail, Google Drive, Facebook, Twitter, Chrome, 1Password, Evernote, Pushbullet, Doprbox, Instagram, WhatsApp Messenger, Pinterest, Pocket și altele câteva.

Unul dintre cercetătorii care a ajutat la descoperirea acestor vulnerabilități grave din iOS și OS X a declarat pentru The Register că el a raportat problemele companiei Apple încă din luna octombrie a anului trecut, însă nu a auzit nimic de la compania americană, așa că după mai bine de șase luni a decis să facă totul public. Problema cea mare este că acum orice infractor cibernetic poate descoperi erorile și le poate exploata, iar mii de aplicații pentru OS X și sute de aplicații pentru iOS, împreună cu utilizatorii lor, vor deveni ținte.

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.