Vulnerabilidade "dia zero" no iOS e OS X irá permitir a roubar todos os dados na Apple Keychain
Makradar De Tecnologia / / December 19, 2019
Especialistas da Universidade de Indiana e do Instituto de Tecnologia da Geórgia nos sistemas operacionais da Apple estudo identificaram a chamada ameaça de "dia zero". Esta vulnerabilidade no software de segurança pode levar ao roubo de código secreto do utilizador, como o serviço está rachado da Apple Keychain, mantendo a par de logins e senhas.
De acordo com o site The Register, Os investigadores vulnerabilidades disse a Apple em outubro do ano passado. Em resposta a Apple pediu para seis meses não publicou detalhes sobre o "buraco" e permitir que os especialistas da empresa para resolver o problema. Em fevereiro de 2015, o primeiro trabalho para remover o perigo ainda estavam, e, provavelmente, com a publicação da moratória foi estendido.
De acordo com funcionários da universidade, eles foram capazes de decifrar o novo mecanismo de comunicação entre as aplicações "sandbox". Em iOS 8 a Apple permitido programas anteriores isoladas enviar uns aos outros informações sobre as contas e, assim, facilitar o processo de autorização do usuário em aplicativos de terceiros. Esta oportunidade e aproveitou os especialistas de segurança dos EUA, primeiro criar uma aplicação especial, e, em seguida, através deles ter roubado as senhas de outros produtos da App Store e Mac App Store. Surpreendentemente, os moderadores da Apple lojas de aplicativos não têm problemas com a aprovação de programas de software e piloto maliciosos com vírus cair em ambas as lojas.
Os desenvolvedores de aplicativos populares, lidar com senhas matrizes, respondeu a vulnerabilidade de maneiras diferentes. Assim, o criador do 1Password disse que ele não vê nenhuma maneira de proteger contra encontrou a explorar. Uma equipe que é responsável pela segurança do navegador Chromium em tudo pode abandonar o suporte da Apple Keychain no Chrome para iOS e OS X.
É interessante notar que, apesar do perigo aparente, a vulnerabilidade não ganha automaticamente acesso a todas as senhas imediatamente. Sobre assim como outros vírus no iOS e OS X, esse truque requer alguma ação do usuário. Uma pessoa precisará digitar seu login e senha por conta própria. Neste caso, a janela de autorização será substituído por uma falsificação, e os dados não vão para o aplicativo, mas para os atacantes.
Em torno da mesma maneira para roubar senhas recentemente demonstraram Outro especialista em segurança. Talvez ele explorou a mesma vulnerabilidade, e os funcionários de universidades norte-americanas. No entanto, enquanto ele estava limitado a apenas uma janela de autorização forjada no iCloud, embora disse que será possível falsificar qualquer janela pop-up. De qualquer forma, depois de muitos meses de espera por uma resposta da Apple esta pessoa já traçou uma descrição detalhada da vulnerabilidade da Web, e os hackers podem usá-lo a qualquer momento.
A única recomendação para a segurança frases-tipo pode se tornar em tal situação uma sobre a instalação de aplicativos de fontes confiáveis e ler e-mails de amigos única contatos.
via