Daniel Hruska 2014 októberében egy hat kutatóból álló csoport sikeresen megkerülte az Apple összes biztonsági mechanizmusát, és elhelyezett egy alkalmazást a Mac App Store és az App Store áruházban. Gyakorlatilag olyan rosszindulatú alkalmazásokat juttathatnak az Apple készülékekbe, amelyek nagyon értékes információkhoz lennének képesek. Az Apple-lel kötött megállapodás szerint ezt a tényt körülbelül hat hónapig nem publikálták, aminek a kutatók eleget is tettek.
Időnként hallunk biztonsági résekről, minden rendszerben vannak ilyenek, de ez egy nagyon nagy. Lehetővé teszi a támadók számára, hogy mindkét App Stories-on, a Mail alkalmazáson és a Google Chrome-ban tárolt összes jelszó ellopására alkalmas alkalmazáson keresztül továbbítsanak egy alkalmazást.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
A hiba lehetővé teheti, hogy a rosszindulatú programok gyakorlatilag bármilyen alkalmazásból jelszót szerezzenek, legyen az előre telepített vagy harmadik féltől. A csoportnak sikerült teljesen leküzdenie a sandboxot, és így a leggyakrabban használt alkalmazásokból, például az Everenote-ból vagy a Facebookból szerzett adatokat. Az egész ügy le van írva a dokumentumban "Alkalmazások közötti jogosulatlan erőforrás-hozzáférés MAC OS X és iOS rendszeren".
Az Apple nyilvánosan nem kommentálta az ügyet, és csak részletesebb információkat kért a kutatóktól. Bár a Google eltávolította a kulcstartó integrációt, önmagában nem oldja meg a problémát. Az 1Password fejlesztői megerősítették, hogy nem tudják 100%-ban garantálni a tárolt adatok biztonságát. Ha egy támadó bejut az eszközébe, az már nem az Ön eszköze. Az Apple-nek rendszerszintű javítással kell előállnia.
Határozottan hiba, de a tanács attól függ, hogy melyik alkalmazást telepíti.
és ha az ofiko App Store-ból telepítek alkalmazásokat, amiket az iPhone alapértelmezett "könyvjelzőiből" érek el, akkor nincs "megrepedt" iOS rendszerem, az még az én apróságomat is veszélyezteti/veszélyezte. az iOS 8,3-as iPhone-om? A cikk szerint az az érzésem, hogy igen... És milyen alkalmazásokat telepítsek? Az "ingyenes" opcióból.
A lényeg itt az, hogy ezek a rosszindulatú alkalmazások hivatalos úton bejuthatnak az App Store-ba, és a felhasználó letölti őket, és azt gondolva, hogy jól vannak, miután átmentek az Apple ellenőrzésén. Ezért jobb, ha nem telepítünk ismeretlen fejlesztőktől származó alkalmazásokat. Én legalábbis így értem.
Pontosan ahogy mondod. Mindenesetre inkább meglepődöm, ha igazak az információk, hogy az Apple állítólag több mint fél éve tud róla, és nem tett ellene semmit.
Becslésem szerint az Apple valószínűleg az információ kézhezvétele után kiegészítette az App Store-ban található vezérlőt, és ezzel kapcsolatban minimális a kockázat az iPhone/iPad esetében.
Ennek azonban nem kell annyira elhanyagolhatónak lennie a MAC-nál, ahol a MacAppStore-on kívüli alkalmazások teljesen normálisan telepítve vannak.