Новогодние скидки от MDLavka

Вы пишете в комментариях, что хотите купить из техники Apple и мы делаем вам индивидуальное предложение, от которого сложно отказаться!

Критическая уязвимость в iOS и OS X позволяет красть пароли из «Связки ключей iCloud» [видео]

В iPhone, iPad и Mac обнаружена опасная уязвимость, позволяющая злоумышленникам красть пароли, которые пользователь хранит в «Связке ключей iCloud». Брешь в безопасности обнаружили специалисты из Индианского университета и Технологического института Джорджии.

icloud-keychein-7

Функция «Связка ключей iCloud» может хранить пароли и данные о банковских картах пользователей на iPhone, iPod touch, iPad и Mac, защищая их с помощью 256-разрядного шифрования AES. При этом данные прозрачно синхронизируются между всеми гаджетами, так что при необходимости ими всегда можно воспользоваться.

На этапе настройки iCloud Keychain устройство на iOS просит указать номер телефона, который будет использоваться для восстановления доступа к Связке ключей. При необходимости Apple присылает SMS-сообщение с кодом, который нужно ввести для того, чтобы восстановить данные. Выбрав опцию «запомнить логин и пароль» на одном устройстве, благодаря «Связке ключей iCloud» пользователь может воспользоваться автозаполнением формы аутентификации на другом доверенном устройстве. Впервые «Связка ключей» появилась в операционных системах iOS 7.0.3 и OS X Mavericks.

«Мы взломали связку ключей, предназначенную для хранения паролей и других аутентификационных данных приложений на устройствах Apple, в iOS и OS X. Мы также обнаружили уязвимость в защите механизма взаимодействия приложений друг с другом, он позволяет похищать конфиденциальную информацию из Evernote, Facebook и других приложений», — утверждают эксперты.

Исследователями была написана программа для похищения логинов и паролей из сторонних приложений — с целью изучения проблемы. Apple одобрила это приложение и пропустила его как в App Store, так и Mac App Store. Из видеозаписей исследователей на YouTube следует, что атака при помощи этого «вредоноса» может быть успешно проведена несмотря на ограничения безопасности, установленные песочницей.

Важно также, что эксплуатация брешей, выявленных в механизмах взаимодействия приложений, позволяет похитить конфиденциальные данные жертвы, хранящиеся в сторонних программах, в том числе Evernote, Facebook и многих других.

По словам экспертов, они сообщили Apple об уязвимости в октябре 2014 года. Компания попросила дать ей полгода на устранение, но так этого и не сделала.

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, Google+ или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.

9 комментариев

  • "Компания попросила дать ей полгода на устранение, но так этого и не сделала." Интересно, это подразумевает, что уязвимость присутствует и в текущей OS X 10.11? Видимо нет, раз ничего не указано об этом и в видео, вроде, нет. "Мутное" какое-то все. Мы взломали, мы то, мы се... Минимум конкретики, максимум "МЫ". Если уязвимость есть, то печально, конечно. Будем ждать апдейта. Сам всегда пользовался "связкой ключей" на маке. =/
  • Ой, где же Гарик, давай лети сюда, а то пропустишь. Напиши тут еще про вирусную клавиатуру андроида :D
  • Что насчет 8.4 и 9 версии, там уязвимость работает?