Что нужно знать об уязвимости XARA в iOS и OS X

Евгений Калинин avatar | 7
FavoriteLoading В закладки
Что нужно знать об уязвимости XARA в iOS и OS X

Поднятая на этой неделе проблема с безопасностью ставит под угрозу сохранность паролей пользователей.

Группа эксплойтов XARA, привлёкшая внимание исследователей безопасности из нескольких университетов, позволяет сторонним программам получать доступ к хранящимся в Keychain паролям. Во время изучения уязвимости дополнительно обнаружились способы получения конфиденциальной информации из большого списка приложений, среди которых присутствуют 1Password, Gmail, Facebook, Twitter, Instagram и Evernote. Эксплойты позволяют вредоносным программам использовать защищённую информацию путём совместного доступа к конфиденциальным данным.

В первую очередь опасность грозит системе OS X, куда через App Store в теории можно установить приложения, подверженные воздействию вредоносного кода из-за выявленной уязвимости. iOS в этом плане защищена чуть лучше. В Keychain для OS X XARA может создавать новые записи или удалять имеющиеся с последующим повторным занесением данных. В iOS уязвимость подменяет систему ссылок настоящего приложения.

XARA_2

Проверить уязвимость достаточно легко. В OS X необходимо зайти в настройки Keychain и на вкладке «Управление доступом» проверить программы, имеющие доступ к хранилищу паролей. В iOS стоит обращать внимание на приложения, установке которых предшествует переход по URL-ссылкам. После перехода по ссылке для установки программы потребуется непосредственное участие пользователя, поэтому для предупреждения установки нежелательных программ специалисты советуют просто проявлять бдительность.

Представленный ниже видеоролик демонстрирует уязвимость в действии. Доступ к Keychain получает подставной сайт, внешне не отличающийся от Facebook. После того, как пользователь входит в свой аккаунт социальной сети и сохраняет пароль в хранилище, вредоносное приложение сразу же получает к этому паролю доступ. Избежать подобного позволит проявление внимательности при установке программ. Желательно из проверенных источников.

Apple известно об этой уязвимости не первый месяц. В пятницу специалисты компании отреагировали на повышенное внимание к проблеме и выпустили обновление для серверной системы безопасности, усложняющее потенциально вредоносным программам доступ в App Store. Работа над устранением уязвимости продолжается и со временем неприятная брешь в системе безопасности будет ликвидирована. [macrumors]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
🤓 Хочешь больше? Подпишись на наш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Поднятая на этой неделе проблема с безопасностью ставит под угрозу сохранность паролей пользователей. Группа эксплойтов XARA, привлёкшая внимание исследователей безопасности из нескольких университетов, позволяет сторонним программам получать доступ к хранящимся в Keychain паролям. Во время изучения уязвимости дополнительно обнаружились способы получения конфиденциальной информации из большого списка приложений, среди которых присутствуют 1Password, Gmail, Facebook, Twitter, Instagram...
Прокомментировать

🙈 Комментарии 7

  1. Tiwar avatar
    Tiwar20 июня 2015
    7

    “Представленный ниже видеоролик демонстрирует уязвимость в действии. Доступ к Keychain получает подставной сайт, внешне не отличающийся от Facebook.”

    Это не подставной сайт, а реальный Facebook.com поэтому пароль и попадет в Keychain как пароль от Facebook. Надо внимательнее читать/смотреть.

    “В iOS стоит обращать внимание на приложения, установке которых предшествует переход по URL-ссылкам.”

    Это тоже непонятно к чему. Уязвимость обработки URL-ссылок iOS не описана, а это непонятное предложение добавлено.

    Посмотрел сейчас источник и стало понятно – про подставной Facebook имеется в ввиду iOS, а автор не разобрался в тексте и поверхностно перевел. Мне кажется Google-переводчик бы лучше справился. В такой ситуации лучше просто дать ссылку на источник, если не можете разобраться в вопросе и корректно о нем написать.

    Tiwar avatar
    Tiwar20 июня 2015
    2

    “Что нужно знать об уязвимости XARA в iOS и OS X”

    Ну хотя бы название дословно перевели, но из Вашей статьи мы явно ничего не узнаем…

    Pyromike avatar
    Pyromike20 июня 2015
    0

    @Tiwar, да, таких случаях точность – важнее всего. Насколько я понял из оригинала статьи: опасаться нужно, когда приложения хотят куда-то залогиниться, в тот же фейсбук, в этот момент они и могут подсунуть похожую на оригинальный сайт форму ввода, данные откуда и утекут к злоумышленникам.

    iFilipis avatar
    iFilipis20 июня 2015
    0

    @Tiwar, приглашаю вас стать автором на iPhones.ru

    Tiwar avatar
    Tiwar21 июня 2015
    0

    @iFilipis, готов рассмотреть все предложения =)))

  2. vmikea21 июня 2015
    3

    Статья очень важная, интересная и ножная но…
    C переводом автор действительно не заморачивался. Мне даже несколько звонков от знакомых поступило с вопросом “Где и как посмотреть этот “долбаный” keychain?”
    Да…….., его так же можно называть “Хранилищем паролей”, как это сделал автор этой статьи, но зачем запутывать читателей, это же обыкновенная “Связка ключей”.

    Кто так же как и мои знакомые не нашел все эти “кейчайны” – Зайдите во встроенный поисковик “Spotlight” и напишите “Связка ключей”, запустите.
    В появившемся окне слева выберите интересующую позицию, и справа на нужный объект двойным кликом (или свойства). В новом открывшемся окне во вкладке доступ можно увидеть все что пользуется вашим объектом/паролем.

    P.S. цитата из статьи … необходимо зайти в настройки Keychain и на вкладке «Управление доступом» проверить….
    Опровержение – если действительно зайти в настройки Keychain (Связка ключей), то там вообще нет вкладки «Управление доступом».

  3. altaveron avatar
    altaveron22 июня 2015
    0

    Прежде чем статьи публиковать сами врубитесь в то, что написано там, откуда вы берете информацию. Почему – уже написали в комментариях выше.

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь