Ντάνιελ Χρούσκα Τον Οκτώβριο του 2014, μια ομάδα έξι ερευνητών παρέκαμψε με επιτυχία όλους τους μηχανισμούς ασφαλείας της Apple για να τοποθετήσει μια εφαρμογή στο Mac App Store και στο App Store. Στην πράξη, θα μπορούσαν να εισάγουν κακόβουλες εφαρμογές σε συσκευές Apple που θα μπορούσαν να λάβουν πολύτιμες πληροφορίες. Σύμφωνα με συμφωνία με την Apple, το γεγονός αυτό δεν επρόκειτο να δημοσιευθεί για περίπου έξι μήνες, κάτι που οι ερευνητές συμμορφώθηκαν.
Κάθε τόσο ακούμε για μια τρύπα ασφαλείας, κάθε σύστημα τα έχει, αλλά αυτό είναι πραγματικά μεγάλο. Επιτρέπει σε έναν εισβολέα να προωθήσει μια εφαρμογή μέσω και των δύο Ιστοριών Εφαρμογών που μπορεί να κλέψει τον κωδικό πρόσβασης του iCloud Keychain, την εφαρμογή Mail και όλους τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στο Google Chrome.
[youtube id=”S1tDqSQDngE” width=”620″ ύψος=”350″]
Το ελάττωμα μπορεί να επιτρέψει στο κακόβουλο λογισμικό να αποκτήσει κωδικό πρόσβασης από σχεδόν οποιαδήποτε εφαρμογή, είτε είναι προεγκατεστημένη είτε τρίτων. Η ομάδα κατάφερε να ξεπεράσει πλήρως το sandboxing και έτσι πήρε δεδομένα από τις πιο χρησιμοποιημένες εφαρμογές όπως το Everenote ή το Facebook. Το όλο θέμα περιγράφεται στο έγγραφο "Μη εξουσιοδοτημένη πρόσβαση πόρων μεταξύ εφαρμογών σε MAC OS X και iOS".
Η Apple δεν έχει σχολιάσει δημόσια το θέμα και ζήτησε μόνο πιο λεπτομερείς πληροφορίες από τους ερευνητές. Παρόλο που η Google αφαίρεσε την ενσωμάτωση της αλυσίδας κλειδιού, δεν λύνει το πρόβλημα αυτό καθαυτό. Οι προγραμματιστές του 1Password επιβεβαίωσαν ότι δεν μπορούν να εγγυηθούν 100% την ασφάλεια των αποθηκευμένων δεδομένων. Μόλις ένας εισβολέας εισέλθει στη συσκευή σας, δεν είναι πλέον η συσκευή σας. Η Apple πρέπει να βρει μια επιδιόρθωση σε επίπεδο συστήματος.
Σίγουρα είναι λάθος, αλλά η συμβουλή εξαρτάται από το άτομο, ποια εφαρμογή θα εγκαταστήσει..
και αν εγκαταστήσω εφαρμογές από το ofiko App Store, στο οποίο έχω πρόσβαση από τους προεπιλεγμένους "σελιδοδείκτες" του iPhone, δεν έχω "σπασμένο" σύστημα iOS, θα / έχει θέσει σε κίνδυνο ακόμα και το μικρό μου, ptm. Το iPhone μου με iOS 8,3; Σύμφωνα με το άρθρο, έχω την αίσθηση ότι είναι... Και τι εφαρμογές εγκαθιστώ; Από την επιλογή "δωρεάν".
Το θέμα εδώ είναι ότι αυτές οι εφαρμογές κακόβουλου λογισμικού μπορούν να εισέλθουν στο App Store μέσω του επίσημου τρόπου και στη συνέχεια ο χρήστης τις κατεβάζει νομίζοντας ότι είναι καλά όταν έχουν περάσει τον έλεγχο της Apple. Επομένως, είναι καλύτερο να μην εγκαθιστάτε εφαρμογές από άγνωστους προγραμματιστές. Τουλάχιστον εγώ έτσι το καταλαβαίνω.
Ακριβώς όπως τα λες. Εν πάση περιπτώσει, με εκπλήσσει, αν αληθεύουν οι πληροφορίες, ότι η Apple φέρεται να το γνωρίζει για πάνω από μισό χρόνο και δεν έχει κάνει τίποτα γι 'αυτό.
Εκτιμώ ότι η Apple πιθανώς συμπλήρωσε τον έλεγχο στο App Store μετά τη λήψη των πληροφοριών και ο κίνδυνος είναι ελάχιστος από αυτή την άποψη για το iPhone/iPad.
Ωστόσο, δεν χρειάζεται να είναι τόσο αμελητέα με το MAC, όπου οι εφαρμογές εκτός του MacAppStore εγκαθίστανται κανονικά.