Skupina šiestich výskumných pracovníkov v októbri 2014 úspešne obišla všetky bezpečnostné mechanizmy Applu pre umiestnenie aplikácie do Mac App Store a App Store. Prakticky by tak mohli do jablčných zariadení dostať škodlivé aplikácie, ktoré by dokázali získať veľmi cenné informácie. Po dohode s Applem nemala byť táto skutočnosť po dobu zhruba šiestich mesiacov zverejnená, čo výskumníci dodržali.
Čas od času sa o nejakej tej bezpečnostnej diere dozvieme, každý systém ich má, ale táto je naozaj veľká. Útočníkovi umožňuje cez oba App Story pretlačiť aplikáciu, ktorá môže ukradnúť heslo z kľúčenky pre iCloud, aplikáciu Mail a všetky heslá uchovávané v prehliadači Google Chrome.
[youtube id="S1tDqSQDngE" width="620" height="350"]
Chyba môže malwaru umožniť získať heslo z prakticky každej aplikácie, či už predinštalovanej alebo tretej strany. Skupine sa podarilo kompletne prekonať sandboxing a získala tak dáta z najpoužívanejších aplikácií ako Everenote alebo Facebook. Celá záležitosť je popísaná v dokumente „Unauthorized Cross-App Resource Access on MAC OS X a iOS“.
Apple sa k záležitosti verejne nevyjadril a od výskumníkov si iba vyžiadal podrobnejšie informácie. Google síce integráciu kľúčenky odobral, avšak problém ako taký to nerieši. Vývojári aplikácie 1Password potvrdili, že nemôžu 100% zaručiť bezpečnosť uchovávaných dát. Akonáhle sa útočník dostane do vášho zariadenia, už to nie je vaše zariadenie. S opravou musí prísť Apple na úrovni systému.
Chyba to iste je, ale porad záleží na človeku aké aplikácie si nainštaluje.
a ak si budem inštalovať aplikácie z ofiko App Storu na ktorý sa dostanem z prednastavených „záložiek“ iPhonu, nemám žiadny „kríkaný“ iOS systém, ohrozí/ohrozilo to aj moju maličkosť, ptm. môj iPhone s iOS 8,3? Podľa článku mám pocit, že áno… A aké aplikácie si inštalujem? Z voľby „zadarmo“.
Práve, že tu ide o to, že sa tieto malware aplikácie môžu dostať do App Storu oficiálnou cestou a používateľ si ich potom stiahne s tým, že sú v pohode, keď prešli kontrolou Applu. Takže radšej neinštalovať aplikácie od neznámych vývojárov. Tak to aspoň chápem ja.
Presne ako hovoríte. Každopádne ma skôr zaráža to, pokiaľ je teda tá informácia pravdivá, že Apple o tom údajne vie už vyše pol roka a nič s tým neurobil.
Odhadujem, že kontrolu v App Store asi Apple po získaní informácie v tichosti doplnil a riziko je v tomto smere u IPhone/iPad minimálne.
Avšak pri MAC to to tak zanedbateľné byť nemusí, tam sa aplikácie mimo MacAppStore inštalujú celkom bežne.