Софтодром   
Windows Программы для Windows
Linux Программы для Linux
Android Приложения для Android
iOS Приложения для iPhone

Новости  Форумы

Уязвимости позволяют красть пароли в «айфонах» и «маках»



Новости    Новости НеWindows


Уязвимости позволяют красть пароли в «айфонах» и «маках»


Группа исследователей из университета штата Индиана обнаружила несколько уязвимостей в OS X и iOS. Еще более тревожный факт: им удалось взломать сервис Keychain, который разработчик использует для приложений и песочниц в OS X, сообщает «Лаборатория Касперского».

Как оказалось, всему виной несовершенство механизма аутентификации, используемого при взаимодействии приложений. В опубликованной университетом статье отмечено, что выявленные бреши позволяют осуществлять эксплойт-атаки на приложения Apple и похищать пароли к iCloud, токены аутентификации и пароли к веб-ресурсам, сохраненные в Google Chrome. Исследование проведено студентами университета Индианы при поддержке Тун-Синь Ли (Tongxin Li) из Пекинского университета и Сяо-Цзин Ляо (Xiaojing Liao) из Технологического института Джорджии.

Авторы статьи «Unauthorized Cross-App Resource Access on MAC OS X and iOS» называют совокупность обнаруженных дефектов XARA – от Cross-App Resource Access, «общий доступ к ресурсам приложений».

Из-за XARA загруженная на машину вредоносная программа, помешенная в песочницу и уже прошедшая стандартную проверку Apple, может получить доступ к важным данным других приложений. В итоге, как пишут авторы статьи, атакующему открывается возможность для кражи информации из клиентов Dropbox, Facebook, Evernote, IM-приложения WeChat и даже паролей, помещенных в хранилище 1Password.

Согласно результатам исследования, основная проблема кроется в слабости и порочности реализации списка управления доступом (ACL), а также в дефектах сервисов взаимодействия приложений, – Keychain, WebSocket в OS X и URL Scheme в OS X и iOS. Из-за этого работающие в песочнице программы могут удалять произвольные записи Keychain и воссоздавать их с помощью ACL-списка, что, в свою очередь, позволяет читать ключи и значения.

«Вредоносная» программа, созданная в ходе исследования, умеет затирать и воспроизводить записи Keychain, то есть может добавить себя и целевое приложение в ACL. Когда пользователя попросят заново ввести регистрационные данные, он, сам того не ведая, сохранит их в элемент, созданный зловредом.

«Пытаясь уяснить суть проблемы, мы обнаружили, что в большинстве случаев ни ОС, ни уязвимое приложение не проводят должным образом аутентификацию партнера по взаимодействию, – пишут исследователи в своей статье. – По большому счету, приложение просто не в состоянии корректно идентифицировать владельца существующей записи Keychain. У Apple нет удобного способа производить такую проверку».

По словам авторов исследования, им удалось провести атаку против Internet Accounts под OS X 10.10 и перехватить данные, используемые этим приложением для iCloud и Facebook. Видеоролик, опубликованный вместе с научной статьей, демонстрирует похищение iCloud-токена из Keychain.


На YouTube выложены также видеоматериалы, доказывающие возможность кражи паролей из Chrome, токенов из Pinterest и Pushbullet, записей из Evernote и паролей из 1Password.

Другой тип XARA, вызванный несовершенством уникального механизма разделения ресурсов в OS X, осуществляемого на основе идентификаторов BID, чреват «взломом контейнера». При раскрытии директорий контейнера другие приложения могут с легкостью их отыскать и, следовательно, перехватить информацию из работающего в песочнице приложения, будь то Evernote, Tumblr или WeChat.

Авторы исследования признают, что продемонстрированные ими бреши напрямую касаются OS X, однако отмечают, что iOS от них тоже не застрахована. Так, перехвату подвержен IPC-канал – Scheme, а также сервис WebSocket. Краткие отчеты были высланы Apple в октябре и ноябре, однако представители компании сочли, что «характер проблемы» не позволяет решить ее ранее, чем через полгода.


Автор: Softodrom.ru
Дата:

22.04.2024 16:55

KasperskyOS может появиться на потребительском рынке

В «Лаборатории Касперского» рассказали, когда операционная система KasperskyOS появится на обычных устройствах пользователей


11.04.2024 14:22

Доля Linux на десктопах продолжает держаться выше 4%

Впервые порог в 4% был преодолен в феврале, а в марте этот уровень удалось закрепить, но Windows продолжает уверенно лидировать с долей в 72%


09.04.2024 09:09

«Газпром» внедряет российскую «Ред ОС» вместо Windows

«Газпром» закупил 134 тыс. лицензий на операционную систему «Ред ОС» от российской компании «Ред cофт» для серверов и рабочих станций


16.12.2023 21:50

В реестр Минцифры включили Atol OS

Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов


09.12.2023 10:31

Разработчики приложений для ОС «Аврора» объединились в Aurora Foundation

Разработчики приложений и устройств на российской мобильной операционной системе «Аврора» объединились в сообщество Aurora Foundation


Популярное: Новости НеWindows
16.12.2023 21:50

В реестр Минцифры включили Atol OS

Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов


22.04.2024 16:55

KasperskyOS может появиться на потребительском рынке

В «Лаборатории Касперского» рассказали, когда операционная система KasperskyOS появится на обычных устройствах пользователей


09.12.2023 10:31

Разработчики приложений для ОС «Аврора» объединились в Aurora Foundation

Разработчики приложений и устройств на российской мобильной операционной системе «Аврора» объединились в сообщество Aurora Foundation


21.04.2023 03:07

Состоялся релиз Ubuntu 23.04

В число официальных редакций Ubuntu добавлена редакция с графическим окружением Cinnamon


16.05.2023 19:07

Выпущена анонимная операционная система Tails 5.13

Tails — операционная система, ориентированная на обеспечение приватности и анонимности пользователя. Известна тем, что использовалась Эдвардом Сноуденом при разоблачении программы PRISM



Ищете, где скачать бесплатные программы?

Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
Все рубрики статей (2024 / 148):


Программы для Windows | Приложения для Android | Приложения для iPhone | Программы для Linux
Статистика | Рейтинги | Авторам | Рассылки
Copyright © 1999-2024 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта