Vulnerabilità "zero day" in iOS e OS X consentirà di rubare tutti i dati da Apple portachiavi

Esperti provenienti da Indiana University e il Georgia Institute of Technology nei sistemi operativi di Apple di studio hanno identificato la cosiddetta minaccia del "giorno zero". Questa vulnerabilità nel software di sicurezza potrebbe portare al furto di codice segreto dell'utente, come il servizio è incrinato di Apple Keychain, mantenendo la coppia di login e password.

Secondo il sito il Registro, I ricercatori vulnerabilità detto che Apple nel mese di ottobre dello scorso anno. In risposta ad Apple chiesto per sei mesi non pubblicare i dettagli circa il "buco" e consentire gli specialisti della società per risolvere il problema. Nel febbraio 2015, il primo lavoro per rimuovere il pericolo erano ancora, e probabilmente alla pubblicazione della moratoria è stata estesa.

Secondo il personale universitario, sono stati in grado di rompere il nuovo meccanismo di comunicazione tra le applicazioni "sandbox". In iOS 8 di Apple permesso isolati programmi precedenti inviare ogni altre informazioni sugli account e quindi facilitare il processo di autorizzazione degli utenti in applicazioni di terze parti. Questa opportunità e ha approfittato degli esperti di sicurezza degli Stati Uniti, prima creare una speciale applicazione, e poi attraverso loro che hanno rubato le password di altri prodotti di App Store e Mac App Store. Sorprendentemente, i moderatori di Apple app store non hanno avuto problemi con l'approvazione dei programmi software e pilota maligni con i virus rientrano in entrambi i negozi.

Gli sviluppatori delle applicazioni più diffuse, si occupano di password array, ha risposto alla vulnerabilità di modi diversi. Così, il creatore di 1Password, ha detto che non vede modo per proteggere contro l'exploit trovato. Una squadra che è responsabile per la sicurezza del navigatore Chromium a tutti può abbandonare il supporto Apple portachiavi in ​​Chrome per iOS e OS X.

Vale la pena notare che, nonostante il pericolo apparente, la vulnerabilità non guadagna automaticamente l'accesso a tutte le password in una volta. Circa così come altri virus in iOS e OS X, questo hack richiede qualche azione da parte dell'utente. Una persona sarà necessario inserire login e password per conto proprio. In questo caso, la finestra di autorizzazione sarà sostituita con un falso, ei dati non andrà alla domanda, ma per gli attaccanti.

Intorno allo stesso modo per rubare le password di recente dimostrato Un altro esperto di sicurezza. Forse sfruttato la stessa vulnerabilità, e il personale delle università degli Stati Uniti. Tuttavia, mentre si era limitato a solo una finestra di autorizzazione forgiato in iCloud, anche se ha detto che sarà possibile falsificare qualsiasi finestra pop-up. Ad ogni modo, dopo molti mesi di attesa di una risposta da parte di Apple questa persona ha già predisposto una descrizione dettagliata della vulnerabilità del Web, e gli hacker possono utilizzare in qualsiasi momento.

L'unica raccomandazione di sicurezza frasi standard può diventare in tale situazione un circa l'installazione di applicazioni da fonti attendibili ed e-mail di lettura da parte di amici solo contatti.

via