Софтодром   
Windows Программы для Windows
Linux Программы для Linux
Android Приложения для Android
iOS Приложения для iPhone

Новости  Форумы

Уязвимости позволяют красть пароли в «айфонах» и «маках»



Новости    Новости НеWindows


Уязвимости позволяют красть пароли в «айфонах» и «маках»


Группа исследователей из университета штата Индиана обнаружила несколько уязвимостей в OS X и iOS. Еще более тревожный факт: им удалось взломать сервис Keychain, который разработчик использует для приложений и песочниц в OS X, сообщает «Лаборатория Касперского».

Как оказалось, всему виной несовершенство механизма аутентификации, используемого при взаимодействии приложений. В опубликованной университетом статье отмечено, что выявленные бреши позволяют осуществлять эксплойт-атаки на приложения Apple и похищать пароли к iCloud, токены аутентификации и пароли к веб-ресурсам, сохраненные в Google Chrome. Исследование проведено студентами университета Индианы при поддержке Тун-Синь Ли (Tongxin Li) из Пекинского университета и Сяо-Цзин Ляо (Xiaojing Liao) из Технологического института Джорджии.

Авторы статьи «Unauthorized Cross-App Resource Access on MAC OS X and iOS» называют совокупность обнаруженных дефектов XARA – от Cross-App Resource Access, «общий доступ к ресурсам приложений».

Из-за XARA загруженная на машину вредоносная программа, помешенная в песочницу и уже прошедшая стандартную проверку Apple, может получить доступ к важным данным других приложений. В итоге, как пишут авторы статьи, атакующему открывается возможность для кражи информации из клиентов Dropbox, Facebook, Evernote, IM-приложения WeChat и даже паролей, помещенных в хранилище 1Password.

Согласно результатам исследования, основная проблема кроется в слабости и порочности реализации списка управления доступом (ACL), а также в дефектах сервисов взаимодействия приложений, – Keychain, WebSocket в OS X и URL Scheme в OS X и iOS. Из-за этого работающие в песочнице программы могут удалять произвольные записи Keychain и воссоздавать их с помощью ACL-списка, что, в свою очередь, позволяет читать ключи и значения.

«Вредоносная» программа, созданная в ходе исследования, умеет затирать и воспроизводить записи Keychain, то есть может добавить себя и целевое приложение в ACL. Когда пользователя попросят заново ввести регистрационные данные, он, сам того не ведая, сохранит их в элемент, созданный зловредом.

«Пытаясь уяснить суть проблемы, мы обнаружили, что в большинстве случаев ни ОС, ни уязвимое приложение не проводят должным образом аутентификацию партнера по взаимодействию, – пишут исследователи в своей статье. – По большому счету, приложение просто не в состоянии корректно идентифицировать владельца существующей записи Keychain. У Apple нет удобного способа производить такую проверку».

По словам авторов исследования, им удалось провести атаку против Internet Accounts под OS X 10.10 и перехватить данные, используемые этим приложением для iCloud и Facebook. Видеоролик, опубликованный вместе с научной статьей, демонстрирует похищение iCloud-токена из Keychain.


На YouTube выложены также видеоматериалы, доказывающие возможность кражи паролей из Chrome, токенов из Pinterest и Pushbullet, записей из Evernote и паролей из 1Password.

Другой тип XARA, вызванный несовершенством уникального механизма разделения ресурсов в OS X, осуществляемого на основе идентификаторов BID, чреват «взломом контейнера». При раскрытии директорий контейнера другие приложения могут с легкостью их отыскать и, следовательно, перехватить информацию из работающего в песочнице приложения, будь то Evernote, Tumblr или WeChat.

Авторы исследования признают, что продемонстрированные ими бреши напрямую касаются OS X, однако отмечают, что iOS от них тоже не застрахована. Так, перехвату подвержен IPC-канал – Scheme, а также сервис WebSocket. Краткие отчеты были высланы Apple в октябре и ноябре, однако представители компании сочли, что «характер проблемы» не позволяет решить ее ранее, чем через полгода.


Автор: Softodrom.ru
Дата:

16.12.2023 21:50

В реестр Минцифры включили Atol OS

Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов


09.12.2023 10:31

Разработчики приложений для ОС «Аврора» объединились в Aurora Foundation

Разработчики приложений и устройств на российской мобильной операционной системе «Аврора» объединились в сообщество Aurora Foundation


27.10.2023 23:08

Выпущена операционная система Simply Linux 10.2

Российская компания «Базальт СПО» выпустила новую версию операционной системы Simply Linux


02.10.2023 15:57

Госдуму переводят на российские аналоги Windows и Microsoft Office

Аппарат Госдумы приобрел для депутатов и административных работников парламента 1800 лицензий российских аналогов операционной системы Windows и пакета офисных программ Microsoft Office


21.09.2023 21:46

Состоялся релиз GNOME 45

Спустя 6 месяцев разработки состоялся релиз GNOME 45 под кодовым названием «Rīga»


Популярное: Новости НеWindows
16.12.2023 21:50

В реестр Минцифры включили Atol OS

Минцифры включило в отечественный реестр программного обеспечения первую российскую операционную систему, предназначенную для платежных кассовых терминалов


09.12.2023 10:31

Разработчики приложений для ОС «Аврора» объединились в Aurora Foundation

Разработчики приложений и устройств на российской мобильной операционной системе «Аврора» объединились в сообщество Aurora Foundation


21.04.2023 03:07

Состоялся релиз Ubuntu 23.04

В число официальных редакций Ubuntu добавлена редакция с графическим окружением Cinnamon


16.05.2023 19:07

Выпущена анонимная операционная система Tails 5.13

Tails — операционная система, ориентированная на обеспечение приватности и анонимности пользователя. Известна тем, что использовалась Эдвардом Сноуденом при разоблачении программы PRISM


14.08.2023 11:18

Доработку российской ОС «Аврора» оценили в 300 млрд рублей

В Роскомнадзоре прошло совещание с российскими производителями смартфонов и разработчиками операционных систем



Ищете, где скачать бесплатные программы?

Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
Все рубрики статей (1988 / 112):


Программы для Windows | Приложения для Android | Приложения для iPhone | Программы для Linux
Статистика | Рейтинги | Авторам | Рассылки
Copyright © 1999-2024 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта