Уязвимость iOS и OS X позволяет получить доступ к «Связке ключей iCloud»

Юрий Милош avatar | 15
FavoriteLoading В закладки
Уязвимость iOS и OS X позволяет получить доступ к «Связке ключей iCloud»

Группа исследователей обнаружила опасную уязвимость в OS X и iOS, которая позволяет злоумышленникам похитить пароли и другие данные из «Связки ключей iCloud».

Уязвимость кроется в механизме взаимодействия между приложениями. При определенных условиях он позволяет похищать информацию не только из «Связки ключей iCloud», но и из многих известных сторонних программ, среди которых значатся Evernote, Facebook, 1Password и многие другие.

Примечательно, что для похищения паролей и другой информации злоумышленники могут использовать приложение из App Store или Mac App Store. Для проверки своей теории исследователи написали подобную программу, которая затем прошла проверку модераторами и была опубликована в магазине приложений. Кроме похищения данных из «Связки ключей iCloud», приложение обладало другими потенциально опасными элементами.

Разумеется, инфицированное программное обеспечение еще должно каким-то образом оказаться у вас на компьютере или мобильном устройстве, но факт наличия уязвимости это не отменяет. Ждем реакции Apple и устранения проблем в механизме взаимодействия между приложениями, ведь исследователи сообщили о существовании данной уязвимости еще в октябре 2014 года. [MacRumors]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Группа исследователей обнаружила опасную уязвимость в OS X и iOS, которая позволяет злоумышленникам похитить пароли и другие данные из «Связки ключей iCloud». Уязвимость кроется в механизме взаимодействия между приложениями. При определенных условиях он позволяет похищать информацию не только из «Связки ключей iCloud», но и из многих известных сторонних программ, среди которых значатся Evernote, Facebook, 1Password...
Прокомментировать

🙈 Комментарии 15

  1. bezromval avatar
    bezromval18 июня 2015
    0

    Поэтому пароли рекомендуется хранить только в голове.

    Kakelberg avatar
    Kakelberg18 июня 2015
    1

    @bezromval, Поэтому никогда не даю стороннему софту доступа к паролям, которые хранятся в Keychain.

  2. Язь avatar
    Язь18 июня 2015
    0

    Но ведь пароль как таковой похитить невозможно как минимум потому, что никакая уважающая себя компания не хранит пароли пользователей.

    Grigory Ioffe18 июня 2015
    0

    @Язь, и как же не храня пароль от какого-то сайта, его подставить в поле ввода пароля так, чтобы он подошел?

    Язь avatar
    Язь18 июня 2015
    0

    @Grigory Ioffe, сайты обычно хранят не сам пароль, а его хэш-сумму. Объясню на пальцах: когда вы регистрируетесь и придумываете пароль, он преобразуется хэш-функцией в хэш-сумму. Причем действие это выполнимо только “в одну сторону”, то есть зная пароль, мы можем узнать его хэш-сумму, а из хэш-суммы пароль восстановить нельзя. Таким образом, когда вы вводите на сайте пароль, вычисляется хэш-сумма введенного пароля и сравнивается с хранящейся в базе.
    Впрочем, я всё равно был неправ: связка ключей действительно хранит пароли, потому что иначе никак.

    Grigory Ioffe18 июня 2015
    0

    @Язь, спасибо, кэп!

    Язь avatar
    Язь18 июня 2015
    0

    @Grigory Ioffe, пожалста!

    Grigory Ioffe18 июня 2015
    0

    @Язь, если ты не понял, я тебе про это и говорил

    friend avatar
    friend20 июня 2015
    0

    @Язь, Дело в том, что связка не просто хранит пассы, они еще и просматриваемые. На маке можно посмотреть любой пасс, введя пароль на вход в комп.

    supchik avatar
    supchik18 июня 2015
    0

    @Язь, штоа? откройте спотлайт на маке и наберите в нём keychain. откройте для себя целый мир забытого :)

  3. stepkin2 avatar
    stepkin218 июня 2015
    0

    > Для проверки своей теории исследователи написали подобную программу, которая затем прошла проверку модераторами и была опубликована в магазине приложений.

    За-ши-бись.

  4. stepkin2 avatar
    stepkin218 июня 2015
    0

    Прочитал статью (не новость) об этой уязвимости. Короче, разработчикам Apple надо вырывать руки за такую реализацию. Ну и механизм цензурирования AppStore менять быстро и жестко. Хотя, безопасность в Apple, похоже, на последнем месте, учитывая как “оперативно” они делали защиту от брута на своих ресурсах. Дизайнеры, блин.

  5. FataLL avatar
    FataLL18 июня 2015
    0

    Ну что, господа кричащие про дырявую винду? И это ещё семечки… Не удивлюсь, что кто-то молчком юзает необъявленную уязвимость с помощью какой-нибудь “бесплатной” софтины, которая сливает куда надо всю военную тайну :)

    stepkin2 avatar
    stepkin218 июня 2015
    0

    @FataLL, “дырявость” винды, в массе своей вызвана тем, что пользователи любят работать из-под “Администратора”, удобно же, фигля там! . Как только вводится учетная запись пользователя без админских прав, и работаешь под ней, то вся “дырявость” куда-то улетучивается.

  6. Lefechka avatar
    Lefechka19 июня 2015
    0

    Более всего смахивает на очередное балабольство.
    Отчего же ни один источник не приводит название той самой проги, что была написана, одобрена и …
    Особенно ложь всплывает после упоминания об краже паролей из 1Password. А расшифровывать как будем? На счётах?
    Писать можно где угодно, что угодно и как угодно. Это вовсе не значит что это правда.

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь