Группа исследователей обнаружила опасную уязвимость в OS X и iOS, которая позволяет злоумышленникам похитить пароли и другие данные из «Связки ключей iCloud».
Уязвимость кроется в механизме взаимодействия между приложениями. При определенных условиях он позволяет похищать информацию не только из «Связки ключей iCloud», но и из многих известных сторонних программ, среди которых значатся Evernote, Facebook, 1Password и многие другие.
Примечательно, что для похищения паролей и другой информации злоумышленники могут использовать приложение из App Store или Mac App Store. Для проверки своей теории исследователи написали подобную программу, которая затем прошла проверку модераторами и была опубликована в магазине приложений. Кроме похищения данных из «Связки ключей iCloud», приложение обладало другими потенциально опасными элементами.
Разумеется, инфицированное программное обеспечение еще должно каким-то образом оказаться у вас на компьютере или мобильном устройстве, но факт наличия уязвимости это не отменяет. Ждем реакции Apple и устранения проблем в механизме взаимодействия между приложениями, ведь исследователи сообщили о существовании данной уязвимости еще в октябре 2014 года. [MacRumors]
(Проголосуйте первым за статью!)
15 комментариев
Форум →Поэтому пароли рекомендуется хранить только в голове.
@bezromval, Поэтому никогда не даю стороннему софту доступа к паролям, которые хранятся в Keychain.
Но ведь пароль как таковой похитить невозможно как минимум потому, что никакая уважающая себя компания не хранит пароли пользователей.
@Язь, и как же не храня пароль от какого-то сайта, его подставить в поле ввода пароля так, чтобы он подошел?
@Grigory Ioffe, сайты обычно хранят не сам пароль, а его хэш-сумму. Объясню на пальцах: когда вы регистрируетесь и придумываете пароль, он преобразуется хэш-функцией в хэш-сумму. Причем действие это выполнимо только “в одну сторону”, то есть зная пароль, мы можем узнать его хэш-сумму, а из хэш-суммы пароль восстановить нельзя. Таким образом, когда вы вводите на сайте пароль, вычисляется хэш-сумма введенного пароля и сравнивается с хранящейся в базе.
Впрочем, я всё равно был неправ: связка ключей действительно хранит пароли, потому что иначе никак.
@Язь, спасибо, кэп!
@Grigory Ioffe, пожалста!
@Язь, если ты не понял, я тебе про это и говорил
@Язь, Дело в том, что связка не просто хранит пассы, они еще и просматриваемые. На маке можно посмотреть любой пасс, введя пароль на вход в комп.
@Язь, штоа? откройте спотлайт на маке и наберите в нём keychain. откройте для себя целый мир забытого :)
> Для проверки своей теории исследователи написали подобную программу, которая затем прошла проверку модераторами и была опубликована в магазине приложений.
За-ши-бись.
Прочитал статью (не новость) об этой уязвимости. Короче, разработчикам Apple надо вырывать руки за такую реализацию. Ну и механизм цензурирования AppStore менять быстро и жестко. Хотя, безопасность в Apple, похоже, на последнем месте, учитывая как “оперативно” они делали защиту от брута на своих ресурсах. Дизайнеры, блин.
Ну что, господа кричащие про дырявую винду? И это ещё семечки… Не удивлюсь, что кто-то молчком юзает необъявленную уязвимость с помощью какой-нибудь “бесплатной” софтины, которая сливает куда надо всю военную тайну :)
@FataLL, “дырявость” винды, в массе своей вызвана тем, что пользователи любят работать из-под “Администратора”, удобно же, фигля там! . Как только вводится учетная запись пользователя без админских прав, и работаешь под ней, то вся “дырявость” куда-то улетучивается.
Более всего смахивает на очередное балабольство.
Отчего же ни один источник не приводит название той самой проги, что была написана, одобрена и …
Особенно ложь всплывает после упоминания об краже паролей из 1Password. А расшифровывать как будем? На счётах?
Писать можно где угодно, что угодно и как угодно. Это вовсе не значит что это правда.
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как отменить отправку письма на iPhone
Как просматривать сохраненные пароли Safari в iPhone
Почему iPhone автоматически подключается к Apple TV при воспроизведении видео
Почему на экране блокировки iPhone часто появляются карты для оплаты Apple Pay
Как настроить вывод видео и звука на телевизор с macOS или iOS?
Почему отличается номер модели iPhone или iPad в Настройках и на сайте Apple
Проблемы с обновлением приложений на Mac
Как вернуть праздники России в приложении Календарь на Mac?