Kerentanan "nol hari" di iOS dan OS X akan memungkinkan untuk mencuri semua data dari Apple Keychain

Para ahli dari Universitas Indiana dan Georgia Institute of Technology di sistem Apel operasi studi telah mengidentifikasi ancaman yang disebut dari "nol hari". kerentanan dalam perangkat lunak keamanan ini bisa mengarah pada pencurian kode rahasia pengguna, seperti layanan retak Apel Keychain, menjaga pasangan login dan password.

Menurut situs The Register, Peneliti Kerentanan mengatakan Apple pada bulan Oktober tahun lalu. Menanggapi ke Apple meminta enam bulan tidak mempublikasikan rincian tentang "lubang" dan memungkinkan spesialis perusahaan untuk memecahkan masalah. Pada bulan Februari 2015, karya pertama untuk menghapus bahaya masih berada, dan mungkin untuk publikasi moratorium telah diperpanjang.

Menurut staf universitas, mereka mampu memecahkan mekanisme baru komunikasi antara "sandbox" aplikasi. Di iOS 8 Apel diizinkan program sebelumnya terisolasi saling mengirim informasi lainnya tentang rekening dan dengan demikian memfasilitasi proses otorisasi pengguna di aplikasi pihak ketiga. kesempatan ini dan mengambil keuntungan dari para ahli keamanan AS, pertama kali membuat aplikasi khusus, dan kemudian melalui mereka telah mencuri password dari produk lainnya dari App Store dan Mac App Store. Anehnya, moderator toko Apple app tidak memiliki masalah dengan persetujuan berbahaya program perangkat lunak dan pilot dengan virus jatuh ke dalam kedua toko.

Para pengembang aplikasi populer, berurusan dengan password array, merespons kerentanan cara yang berbeda. Dengan demikian, pencipta 1Password mengatakan bahwa ia tidak melihat cara untuk melindungi terhadap mengeksploitasi ditemukan. Sebuah tim yang bertanggung jawab untuk keselamatan browser Chromium sekali bisa meninggalkan dukungan Apple Keychain di Chrome untuk iOS dan OS X.

Perlu dicatat bahwa, meskipun bahaya jelas, kerentanan tidak secara otomatis mendapatkan akses ke semua password sekaligus. Tentang serta virus lain di iOS dan OS X, hack ini memerlukan beberapa tindakan dari pengguna. Seseorang akan perlu untuk memasukkan login dan password Anda sendiri. Dalam hal ini, jendela otorisasi akan diganti dengan palsu, dan data akan pergi untuk tidak aplikasi tetapi untuk para penyerang.

Sekitar cara yang sama untuk mencuri password baru ditunjukkan ahli keamanan lain. Mungkin ia mengeksploitasi kerentanan yang sama, dan staf universitas AS. Namun, sementara itu terbatas hanya jendela otorisasi ditempa di iCloud, meskipun mengatakan bahwa itu akan mungkin untuk memalsukan setiap jendela pop-up. Pokoknya, setelah berbulan-bulan menunggu respon dari Apple orang ini telah meletakkan sebuah penjelasan rinci tentang kerentanan Web, dan hacker dapat menggunakannya setiap saat.

Satu-satunya rekomendasi untuk frase standar keamanan dapat menjadi dalam situasi seperti tentang instalasi aplikasi dari sumber terpercaya dan membaca email dari teman saja kontak.

melalui