Группа исследователей обнаружила опасную уязвимость в OS X и iOS, которая позволяет злоумышленникам похитить пароли и другие данные из «Связки ключей iCloud».
Уязвимость кроется в механизме взаимодействия между приложениями. При определенных условиях он позволяет похищать информацию не только из «Связки ключей iCloud», но и из многих известных сторонних программ, среди которых значатся Evernote, Facebook, 1Password и многие другие.
Примечательно, что для похищения паролей и другой информации злоумышленники могут использовать приложение из App Store или Mac App Store. Для проверки своей теории исследователи написали подобную программу, которая затем прошла проверку модераторами и была опубликована в магазине приложений. Кроме похищения данных из «Связки ключей iCloud», приложение обладало другими потенциально опасными элементами.
Разумеется, инфицированное программное обеспечение еще должно каким-то образом оказаться у вас на компьютере или мобильном устройстве, но факт наличия уязвимости это не отменяет. Ждем реакции Apple и устранения проблем в механизме взаимодействия между приложениями, ведь исследователи сообщили о существовании данной уязвимости еще в октябре 2014 года. [MacRumors]
(Проголосуйте первым за статью!)
15 комментариев
Форум →Поэтому пароли рекомендуется хранить только в голове.
@bezromval, Поэтому никогда не даю стороннему софту доступа к паролям, которые хранятся в Keychain.
Но ведь пароль как таковой похитить невозможно как минимум потому, что никакая уважающая себя компания не хранит пароли пользователей.
@Язь, и как же не храня пароль от какого-то сайта, его подставить в поле ввода пароля так, чтобы он подошел?
@Grigory Ioffe, сайты обычно хранят не сам пароль, а его хэш-сумму. Объясню на пальцах: когда вы регистрируетесь и придумываете пароль, он преобразуется хэш-функцией в хэш-сумму. Причем действие это выполнимо только “в одну сторону”, то есть зная пароль, мы можем узнать его хэш-сумму, а из хэш-суммы пароль восстановить нельзя. Таким образом, когда вы вводите на сайте пароль, вычисляется хэш-сумма введенного пароля и сравнивается с хранящейся в базе.
Впрочем, я всё равно был неправ: связка ключей действительно хранит пароли, потому что иначе никак.
@Язь, спасибо, кэп!
@Grigory Ioffe, пожалста!
@Язь, если ты не понял, я тебе про это и говорил
@Язь, Дело в том, что связка не просто хранит пассы, они еще и просматриваемые. На маке можно посмотреть любой пасс, введя пароль на вход в комп.
@Язь, штоа? откройте спотлайт на маке и наберите в нём keychain. откройте для себя целый мир забытого :)
> Для проверки своей теории исследователи написали подобную программу, которая затем прошла проверку модераторами и была опубликована в магазине приложений.
За-ши-бись.
Прочитал статью (не новость) об этой уязвимости. Короче, разработчикам Apple надо вырывать руки за такую реализацию. Ну и механизм цензурирования AppStore менять быстро и жестко. Хотя, безопасность в Apple, похоже, на последнем месте, учитывая как “оперативно” они делали защиту от брута на своих ресурсах. Дизайнеры, блин.
Ну что, господа кричащие про дырявую винду? И это ещё семечки… Не удивлюсь, что кто-то молчком юзает необъявленную уязвимость с помощью какой-нибудь “бесплатной” софтины, которая сливает куда надо всю военную тайну :)
@FataLL, “дырявость” винды, в массе своей вызвана тем, что пользователи любят работать из-под “Администратора”, удобно же, фигля там! . Как только вводится учетная запись пользователя без админских прав, и работаешь под ней, то вся “дырявость” куда-то улетучивается.
Более всего смахивает на очередное балабольство.
Отчего же ни один источник не приводит название той самой проги, что была написана, одобрена и …
Особенно ложь всплывает после упоминания об краже паролей из 1Password. А расшифровывать как будем? На счётах?
Писать можно где угодно, что угодно и как угодно. Это вовсе не значит что это правда.
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.На Mac пропадает Wi-Fi при подключении внешнего диска. Что делать?
Почему iPhone перестал определять местоположение
Есть ли аналог кабеля MagSafe для iPhone?
Почему связка ключей не переносится из iCloud на Mac
Как отправлять обычные SMS с iPad?
Почему не работает функция «Привет, Siri» на iPhone
Как исправить ошибку iTunes «от устройства получен недействительный ответ»?
Как убрать таймер отключения и перезагрузки в macOS