Поднятая на этой неделе проблема с безопасностью ставит под угрозу сохранность паролей пользователей.
Группа эксплойтов XARA, привлёкшая внимание исследователей безопасности из нескольких университетов, позволяет сторонним программам получать доступ к хранящимся в Keychain паролям. Во время изучения уязвимости дополнительно обнаружились способы получения конфиденциальной информации из большого списка приложений, среди которых присутствуют 1Password, Gmail, Facebook, Twitter, Instagram и Evernote. Эксплойты позволяют вредоносным программам использовать защищённую информацию путём совместного доступа к конфиденциальным данным.
В первую очередь опасность грозит системе OS X, куда через App Store в теории можно установить приложения, подверженные воздействию вредоносного кода из-за выявленной уязвимости. iOS в этом плане защищена чуть лучше. В Keychain для OS X XARA может создавать новые записи или удалять имеющиеся с последующим повторным занесением данных. В iOS уязвимость подменяет систему ссылок настоящего приложения.
Проверить уязвимость достаточно легко. В OS X необходимо зайти в настройки Keychain и на вкладке «Управление доступом» проверить программы, имеющие доступ к хранилищу паролей. В iOS стоит обращать внимание на приложения, установке которых предшествует переход по URL-ссылкам. После перехода по ссылке для установки программы потребуется непосредственное участие пользователя, поэтому для предупреждения установки нежелательных программ специалисты советуют просто проявлять бдительность.
Представленный ниже видеоролик демонстрирует уязвимость в действии. Доступ к Keychain получает подставной сайт, внешне не отличающийся от Facebook. После того, как пользователь входит в свой аккаунт социальной сети и сохраняет пароль в хранилище, вредоносное приложение сразу же получает к этому паролю доступ. Избежать подобного позволит проявление внимательности при установке программ. Желательно из проверенных источников.
Apple известно об этой уязвимости не первый месяц. В пятницу специалисты компании отреагировали на повышенное внимание к проблеме и выпустили обновление для серверной системы безопасности, усложняющее потенциально вредоносным программам доступ в App Store. Работа над устранением уязвимости продолжается и со временем неприятная брешь в системе безопасности будет ликвидирована. [macrumors]
(Проголосуйте первым за статью!)
7 комментариев
Форум →“Представленный ниже видеоролик демонстрирует уязвимость в действии. Доступ к Keychain получает подставной сайт, внешне не отличающийся от Facebook.”
Это не подставной сайт, а реальный Facebook.com поэтому пароль и попадет в Keychain как пароль от Facebook. Надо внимательнее читать/смотреть.
“В iOS стоит обращать внимание на приложения, установке которых предшествует переход по URL-ссылкам.”
Это тоже непонятно к чему. Уязвимость обработки URL-ссылок iOS не описана, а это непонятное предложение добавлено.
Посмотрел сейчас источник и стало понятно – про подставной Facebook имеется в ввиду iOS, а автор не разобрался в тексте и поверхностно перевел. Мне кажется Google-переводчик бы лучше справился. В такой ситуации лучше просто дать ссылку на источник, если не можете разобраться в вопросе и корректно о нем написать.
“Что нужно знать об уязвимости XARA в iOS и OS X”
Ну хотя бы название дословно перевели, но из Вашей статьи мы явно ничего не узнаем…
@Tiwar, да, таких случаях точность – важнее всего. Насколько я понял из оригинала статьи: опасаться нужно, когда приложения хотят куда-то залогиниться, в тот же фейсбук, в этот момент они и могут подсунуть похожую на оригинальный сайт форму ввода, данные откуда и утекут к злоумышленникам.
@Tiwar, приглашаю вас стать автором на iPhones.ru
@iFilipis, готов рассмотреть все предложения =)))
Статья очень важная, интересная и ножная но…
C переводом автор действительно не заморачивался. Мне даже несколько звонков от знакомых поступило с вопросом “Где и как посмотреть этот “долбаный” keychain?”
Да…….., его так же можно называть “Хранилищем паролей”, как это сделал автор этой статьи, но зачем запутывать читателей, это же обыкновенная “Связка ключей”.
Кто так же как и мои знакомые не нашел все эти “кейчайны” – Зайдите во встроенный поисковик “Spotlight” и напишите “Связка ключей”, запустите.
В появившемся окне слева выберите интересующую позицию, и справа на нужный объект двойным кликом (или свойства). В новом открывшемся окне во вкладке доступ можно увидеть все что пользуется вашим объектом/паролем.
P.S. цитата из статьи … необходимо зайти в настройки Keychain и на вкладке «Управление доступом» проверить….
Опровержение – если действительно зайти в настройки Keychain (Связка ключей), то там вообще нет вкладки «Управление доступом».
Прежде чем статьи публиковать сами врубитесь в то, что написано там, откуда вы берете информацию. Почему – уже написали в комментариях выше.
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Какой iPhone выбрать в качестве LTE-модема
Как откатиться с iOS 10.3.1
Почему iPhone пытается подключиться к старому почтовому ящику, который давно удален
Как полностью отключать Wi-Fi и Bluetooth в iOS 11
Как удалить учетную запись Apple ID
Как следить за уровнем заряда разных гаджетов с Mac
Как разблокировать iPhone одним нажатием вместо двух
Почему не отправляются SMS на iPhone