פגיעות "יום אפס" ב- iOS ו- OS X יאפשר לגנוב את כל הנתונים מן אפל Keychain

Makradar של טכנולוגיה / by admin / December 19, 2019

click fraud protection

מומחים מאוניברסיטת אינדיאנה והמכון הטכנולוגי של ג'ורג'יה במערכות ההפעלה של אפל במחקר זיהו את האיום כביכול של "יום אפס". פגיעות זו של תוכנת אבטחה עלולה להוביל לגניבת את הקוד הסודי של המשתמש, כמו שירות סדוקה אפל Keychain, שמירה על זוג שמות משתמש וסיסמאות.

לפי האתר הפנקסחוקרים פגיעים, אמר אפל באוקטובר בשנה שעברה. בתגובה האפלה בקש במשך שישה חודשים לא לפרסם פרטים על "החור" ולאפשר המומחים של החברה כדי לפתור את הבעיה. בחודש פברואר 2015, את העבודה הראשונה כדי להסיר את הסכנה עדיין היו, וכנראה פרסום ההקפאה הוארך.

לדברי סגל האוניברסיטה, הם הצליחו לפצח את מנגנון חדש של תקשורת בין יישומים "ארגז חול". ב- iOS 8 אפל מותר תוכניות קודמות מבודדים לשלוח כל מידע אחר על החשבונות ובכך להקל על תהליך אישור המשתמש ביישומים של צד שלישי. הזדמנות זו ניצלה את מומחי אבטחה בארה"ב, הראשון ליצור יישום מיוחד, ולאחר מכן באמצעות אותם כי גנבה סיסמאות של מוצרים אחרים של App Store ו- Mac App Store. באופן מפתיע, חנויות האפליקציות המנחות האפלות לא היו בעיות באישור תוכנות טייס זדוניות עם וירוסים ליפול לתוך החנויות הן.

המפתחים של יישומים פופולריים, להתמודדות עם מערכי סיסמות, הגיבו הפגיעות של דרכים שונות. לפיכך, היוצר של 1Password אמר כי הוא לא רואה שום דרך להגן מפני לנצל נמצא. צוות אחראי לשלומם של דפדפן כרום בכלל יכול לנטוש תמיכה Keychain אפל Chrome עבור iOS ו- X. OS

instagram viewer

ראוי לציין כי, למרות הסכנה לכאורה, פגיעות לא יזכה אוטומטית גישה לכל הסיסמאות בבת אחת. אודות כמו גם וירוסים אחרים X iOS ו- OS, גרזן זה דורש פעולה כלשהי מצד המשתמש. אדם צריך להזין את שם המשתמש והסיסמה שלך בכוחות עצמם. במקרה זה, חלון האישור יוחלף מזויף, והנתונים ילכו שלא היישום אבל אל התוקפים.

מסביב באותו האופן לגנוב סיסמאות לאחרונה הפגין עוד מומחה אבטחה. אולי הוא ניצל אותו הפגיעות, והצוות של אוניברסיטאות בארה"ב. עם זאת, בזמן שהוא היה מוגבל חלון הרשאה מזויף רק ב- iCloud, למרות שהוא אמר כי ניתן יהיה לזייף כל חלון מוקפץ. בכל מקרה, לאחר חודשים רבים של מתנה לתגובה אפלה האדם הזה כבר ערוך תיאור מפורט של הפגיעות של האינטרנט, והאקרים יכולים להשתמש בו בכל עת.

ההמלצה היחידה עבור ביטויי תקן אבטחה יכולה להיות ב סיטואציה כזו על ההתקנה של יישומים ממקורות מהימנים קריאת דואר אלקטרוני מחברים בלבד מגעים.

באמצעות

ענן תגיות

דֵרוּג

צפיות

תגובות