Apple už půl roku ignoruje chybu, kvůli které lze z iOS a OS X vytáhnout hesla

0

Aplikace na jablečných platformách běží v sandboxu, jakési pomyslné skořápce, díky které nemůže jedna aplikace přistupovat k datům aplikace jiné. Navzájem se dorozumívají skrz rozhraní navržené Applem a právě v nich je velká díra. Všimlo si jí šest výzkumníků z Indiana University, Georgia Institue of Technology a Peking University.

Vědcům se podařilo vložit do App Storu aplikaci s kódem, který dokázal v systému šmejdit a skrz rozhraní pro klíčenku iCloud Keychain nebo rozhraní WebSockets získat přístupová hesla a autentizační tokeny k aplikacím. Malware prošel schvalovacím procesem v App Storu, což je jeden problém. Druhý se týká meziaplikační komunikace, kterou Apple nemá zabezpečenou.

Výzkumníci firmu na problémy upozornili už před půl rokem, ale Apple na ně nereagoval a chybu po celou dobu neopravil. Mezi napadenými programy byl i Chrome nebo 1Password, ale jejich tvůrci se vyjádřili v tom smyslu, že z jejich strany nemůžou opravu přinést, díru musí záplatovat Apple.

Zranitelnost se týká iOS i OS X. Získat hesla nebo tokeny se podařilo z Gmailu, Google Drivu, Facebooku, Twitteru, Chromu, Evernotu, Pushbulletu, napadeny byly také aplikace Dropbox, Pinterest, Instagram, Whatsapp či Kindle.

 

Zdroj: Celý výzkum v PDF via The Register

Apple už půl roku ignoruje chybu, kvůli které lze z iOS a OS X vytáhnout hesla

Ohodnoťte tento článek!