Баг в Apple KeyChain позволяет зловредным приложениям украсть любой пароль [обновлено]

  2. Темы
  3. iOS
Павел Дмитриев

Хакеры часто находят различные «дыры» и уязвимости в iOS и OS X, однако Apple оперативно исправляет их с обновлениями операционной системы. К сожалению, так случается не всегда. Еще в октябре прошлого года несколько экспертов сообщили в Apple о наличии уязвимости, при помощи которой становится возможным взлом паролей из Apple Keychain. Тогда в Купертино заявили, что разберутся с ситуацией, однако… уязвимость все еще существует и принимает глобальный характер.

iCloud Keychain

Эксперты загрузили программы, эксплуатирующие данную уязвимость в App Store и Mac App Store. Удивительно, но модераторы компании одобрили приложение для обеих платформ. Пользователю достаточно установить соответствующую программу на свое устройство попытаться залогиниться, например, на Facebook. Информация будет украдена. «Зловредная» программа не может получить прямого доступа к уже сохраненному в KeyChain значению пароля, однако она может затереть существующую запись, после этого браузер или другое приложение попросят пользователя снова залогиниться, и свежесохраненный пароль будет украден.

Как сообщает 9to5Mac, эксплойт был протестирован на огромном количестве приложений для iOS и OS X, и он действительно работает: 90% приложений «отдают» все необходимые данные, включая логины и пароли.

AgileBits, разработчик популярного приложения для хранения паролей 1Password, заявили, что пока не видят решения защититься от данной уязвимости. Аналогичной позиции придерживаются и в команде Chromium в Google, более того, разработчики Chromium планируют удалить из своего приложения интеграцию с KeyChain до того момента, как дыра будет закрыта.

К сожалению, как и многие ошибки, обусловленные архитектурой ПО, эта отличается сложностью в защите. Пока что вы должны с подозрением относиться ко всем устанавливаемым приложениям, даже если это программы из App Store, еще больше вас должны настораживать случаи, когда какое-то приложение или сайт, использовавшие пароль, сохраненный в KeyChain, просят ввести его снова.

Мы же ждем новостей от Apple и скорейшего исправления проблемы.

Update: Как сообщают эксперты, перепроверившие информацию, опубликованную в материалах исследователей, открывших этот баг, в iOS отсутствует функция Access Control Group, являющаяся источником проблемы, поэтому на iOS подобная атака — сомнительна.

Баг в Apple KeyChain позволяет зловредным приложениям украсть любой пароль [обновлено]. Фото.

iOS 8Безопасность AppleОбзоры приложений для iOS и MacПроблемы Apple

Лонгриды для вас

Как вернуть пуш-уведомления от Тинькофф на Айфон. Два лучших способа

Тинькофф придумал оригинальный способ вернуть уведомления об операциях на Айфон и выпустил специальную утилиту Кстати, с помощью которой это можно сделать. Скорее скачивай ее на свой Айфон и смотри, как еще можно включить пуши от банка

Читать далее ...
Обманул App Store и скачал ChatGPT в России. Так сможет даже ребенок

Приложение ChatGPT наконец появилось в App Store, но российские пользователи не смогут скачать его. Однако способ обойти ограничение, чтобы загрузить популярную нейросеть, есть! Рассказываем, как обмануть App Store и загрузить ChatGPT на Айфон в России

Читать далее ...
Вышло новое веб-приложение Сбербанк Онлайн для Айфона. Его Apple точно не сможет удалить

Сбер выпустил полноценное веб-приложение Сбербанк Онлайн. Теперь в него можно входить с помощью Touch ID или Face ID и добавить на рабочий стол как отдельное приложение. Рассказываем, как настроить новое PWA Сбербанк Онлайн и какие возможности оно предлагает.

Читать далее ...