Chybu, ktorá umožňuje kradnúť heslá z iOS a OS X, Apple už pol roka ignoruje

Vý­skum­ní­ci z In­dia­na Uni­ver­si­ty a Geor­gia In­sti­tu­te os Tech­no­lo­gy zis­ti­li bez­peč­nos­tné di­ery v ope­rač­ných sys­té­moch iOS a OS X, kto­ré umož­ňu­jú mal­vé­ru krad­núť hes­lá z App­le Keychain, ako aj z ap­li­ká­cií App­lu aj tre­tích strán.

Vý­skum­ní­ci vy­tvo­ri­li škod­li­vý kód a po­da­ri­lo sa im na­bú­rať sa do služ­by Keychain na uk­la­da­nie he­siel a ďal­ších dô­ver­ných úda­jov pre ap­li­ká­cie App­lu, ako aj do san­dboxových kon­taj­ne­rov na OS X. Iden­ti­fi­ko­va­li aj no­vé ne­dos­tat­ky v ko­mu­ni­kač­ných me­cha­niz­moch me­dzi ap­li­ká­cia­mi na OS X aj iOS, kto­ré sa da­jú pou­žiť na krá­dež dô­ver­ných úda­jov z Ever­no­te, Fa­ce­boo­ku, Twit­te­ru, Gmai­lu, Goog­le Dri­ve a ďal­ších ap­li­ká­cií.

Pod­ľa webu The Re­gis­ter bo­li App­lu chy­by nah­lá­se­né už v ok­tób­ri mi­nu­lé­ho ro­ka, na­priek to­mu ne­dos­tat­ky zos­ta­li prí­tom­né aj v naj­nov­ších ver­ziách oboch je­ho ope­rač­ných sys­té­mov.

Video:


Vý­skum­ní­ci na­priek pre­ve­ro­va­niu App­lu nah­ra­li mal­vér na vy­uží­va­nie zra­ni­teľ­nos­ti do ap­li­kač­ných ob­cho­dov pre iOS aj Mac, ich kom­pro­mi­tu­jú­ce ap­li­ká­cie bo­li schvá­le­né pre obe plat­for­my.

Po­čas tes­to­va­nia sa tí­mu po­da­ri­lo po­mo­cou mal­vé­ru zís­kať prís­tup k cit­li­vým dá­tam ulo­že­ným v 90 % ap­li­ká­cií, a to vrá­ta­ne prih­la­so­va­cích úda­jov.

Me­dzi na­pad­nu­tý­mi ap­li­ká­cia­mi bo­li aj Chro­me či 1Password, ich tvor­co­via sa však vy­jad­ri­li, že ne­mô­žu chy­bu od­strá­niť, op­ra­vu mu­sí pri­niesť App­le. Bez­peč­nost­ný tím Chro­mium Goog­lu rea­go­val tým, že od­strá­nil in­teg­rá­ciu Keychain do Chro­mu.

Ko­men­tá­tor na Ha­cker News upo­zor­ňu­je, že ak sa mal­vé­ru ne­po­da­rí pria­mo zís­kať prís­tu­po­vé úda­je z Keychainu, uro­bí to ne­pria­mo tým, že pri­nú­ti pou­ží­va­te­ľa prih­lá­siť sa ma­nuál­ne a od­chy­tí no­vo za­dá­va­né dô­ver­né úda­je.

Video:


V sú­čas­nos­ti naj­lep­šia ra­da je byť opatr­ný pri sťa­ho­va­ní ap­li­ká­cií od nez­ná­mych vý­vo­já­rov, a to aj z App Sto­ru pre iOS a Mac, a spo­zor­nieť, ak ste vy­zva­ní na ruč­né za­da­nie prih­la­so­va­cích úda­jov v prí­pa­de, že bež­ne sa prih­lá­se­nie vy­ko­ná­va cez Keychain.

Zdroj: the­re­gis­ter.co.uk
9to5­mac.com


Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter