Neaizsargātība "nulles dienas" iOS un OS X, ļaus nozagt visus datus no Apple Keychain
Makradar Tehnoloģijas / / December 19, 2019
Eksperti no Indiānas Universitātē un Džordžijas Tehnoloģiju institūta pētījumā Apple operētājsistēmas esam noteikuši tā saukto draudus no "nulles dienas". Šī ievainojamība drošības programmatūru, var novest pie zādzību no lietotāja slepeno kodu, jo pakalpojums ir sašķelts Apple Keychain, saglabājot pāris logins un paroles.
Pēc vietas reģistrs, Neaizsargātības pētnieki teica Apple pagājušā gada oktobrī. Atbildot uz Apple lūdza sešus mēnešus nav publicēt informāciju par "caurumu", un ļaut speciālisti uzņēmuma, lai atrisinātu šo problēmu. 2015. gada februārī, pirmais darbs, lai novērstu briesmas, vēl bija, un, iespējams, uz moratorija publikācija ir pagarināts.
Saskaņā ar universitātes darbiniekiem, viņi varēja kreka jaunu mehānismu saziņai starp "smilškastes" lietojumprogrammas. Ar iOS 8 Apple atļauta izolēti iepriekšējās programmas nosūta cita citai informāciju par kontiem un tādējādi atvieglotu lietotāja autorizācijas procesu trešo personu pieteikumus. Šī iespēja un izmantoja ASV drošības eksperti, vispirms rada īpašu programmu, un pēc tam ar tiem, kam nozagts paroles citu produktu App Store un Mac App Store. Pārsteidzoši, ka moderatori Apple App veikalu nebija problēmas ar apstiprināšanu ļaunprātīgas programmatūras un izmēģinājuma programmām ar vīrusiem iekrist gan veikalos.
Par populāru lietojumprogrammu izstrādātājiem, kas nodarbojas ar paroles masīviem, atbildēja uz ievainojamību dažādos veidos. Tādējādi autors 1Password teica, ka viņš neredz veidu, kā aizsargāt pret izmantot atrasts. Komanda, kas ir atbildīgs par drošību Chromium pārlūku vispār var atteikties Apple Keychain atbalstu Chrome iOS ierīcēm un OS X.
Ir vērts atzīmēt, ka, neskatoties uz acīmredzamo apdraudējumu, neaizsargātību netiek automātiski piekļūt visiem paroles uzreiz. Par kā arī citi vīrusi, kas iOS un OS X, šis robs prasa dažas darbības no lietotāja. Personai būs jāievada lietotājvārds un parole paši. Šajā gadījumā atļauju logs tiks aizstāts ar viltus, un dati dosies nevis uz pieteikumu, bet uzbrucēju.
Apmēram tādā pašā veidā nozagt paroles nesen pierādīta Vēl viens drošības eksperts. Varbūt viņš izmantoja to pašu ievainojamību, un darbiniekus ASV universitātēs. Tomēr, lai gan tas bija ierobežota tikai viltotas atļaujas logā iCloud, lai gan teica, ka tas būs iespējams viltot jebkādu pop-up logu. Anyway, pēc daudzu mēnešu gaida atbildi no Apple šī persona jau ir izklāstīts detalizētu aprakstu neaizsargātību Web, un hakeri var izmantot to jebkurā laikā.
Vienīgais ieteikums vērtspapīrs standarta frāzes var kļūt šādā situācijā par uzstādīšanu pieteikumus no uzticamiem avotiem un lasa e-pastus no draugiem tikai kontakti.
izmantojot