Daniel Hruška Oktobra 2014 je skupina šestih raziskovalcev uspešno obšla vse Applove varnostne mehanizme in postavila aplikacijo v Mac App Store in App Store. V praksi bi lahko v Applove naprave spravili zlonamerne aplikacije, ki bi lahko pridobile zelo dragocene podatke. Po dogovoru z Applom to dejstvo ni smelo biti objavljeno približno šest mesecev, kar so raziskovalci upoštevali.
Vsake toliko časa slišimo o varnostni luknji, vsak sistem jih ima, ampak ta je res velika. Omogoča napadalcu, da potisne aplikacijo skozi obe App Stories, ki lahko ukrade geslo iCloud Keychain, aplikacijo Mail in vsa gesla, shranjena v Google Chromu.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
Napaka lahko zlonamerni programski opremi omogoči pridobitev gesla od tako rekoč katere koli aplikacije, bodisi vnaprej nameščene ali aplikacije tretje osebe. Skupini je uspelo popolnoma premagati peskovnik in tako pridobiti podatke iz najbolj uporabljanih aplikacij, kot sta Everenote ali Facebook. Celotna zadeva je opisana v dokumentu »Nepooblaščen dostop do virov med aplikacijami v sistemih MAC OS X in iOS«.
Apple zadeve ni javno komentiral in je le zahteval podrobnejše informacije od raziskovalcev. Čeprav je Google odstranil integracijo obeska za ključe, to ne reši težave kot take. Razvijalci 1Password so potrdili, da ne morejo 100% zagotoviti varnosti shranjenih podatkov. Ko napadalec enkrat vstopi v vašo napravo, to ni več vaša naprava. Apple mora pripraviti popravek na sistemski ravni.
Vsekakor gre za napako, a nasvet je odvisen od človeka, katero aplikacijo si namesti..
in če nameščam aplikacije iz ofiko App Store, do katere dostopam iz privzetih "zaznamkov" iPhona, nimam "zlomljenega" iOS sistema, bo/je ogrozil tudi mojo malenkost, ptm. moj iPhone z iOS 8,3? Glede na članek imam občutek, da je... In katere aplikacije nameščam? Iz možnosti "brezplačno".
Gre za to, da lahko te zlonamerne aplikacije pridejo v App Store po uradni poti, uporabnik pa jih nato prenese in misli, da so v redu, ko prestanejo Applov pregled. Zato je bolje, da ne nameščate aplikacij neznanih razvijalcev. Vsaj jaz to tako razumem.
Točno tako kot praviš. Kakorkoli že, me kar čudi, če je podatek resničen, da naj bi Apple za to vedel že več kot pol leta in ni naredil ničesar glede tega.
Ocenjujem, da je Apple verjetno po prejemu informacij dopolnil preverjanje v App Store in je tveganje v zvezi s tem minimalno za iPhone/iPad.
Ni pa treba, da je tako zanemarljivo pri MAC-u, kjer se aplikacije zunaj MacAppStore nameščajo povsem normalno.