Новая «дыра» в iPhone, iPad и Mac позволяет украсть все логины и пароли
17.06.15, Ср, 19:20, Мск,
Текст: Сергей Попсулин
В продуктах Apple, включая iPhone, iPad и Mac, найдена серьезная уязвимость: она позволяет злоумышленнику выкрасть все логины и пароли, которые пользователь хранит в «Связке ключей iCloud».
Специалисты из Индианского университета и Технологического института Джорджии обнаружили уязвимость в операционных системах Apple iOS и OS X, позволяющую злоумышленникам получить доступ ко всем логинам, паролям и другим данным аутентифиации, которые пользователь сохранил в «Связке ключей iCloud».
«Связка ключей iCloud» (Keychain) — функция, появившаяся в iOS 7.0.3 и OS X 10.9 Mavericks и присутствующая во всех последующих версиях мобильной и настольной систем Apple. Она предназначена для хранения логинов и паролей с различных веб-сайтов, данных кредитных карт, информации о сетях Wi-Fi, логинов и паролей приложений Apple (таких, как Mail, «Контакты», «Календарь» и «Сообщения»), а также логинов и паролей сторонних приложений (таких, как Facebook, Evernote и др). Выбрав опцию «запомнить логин и пароль» на одном устройстве, благодаря «Связке ключей» пользователь может воспользоваться автозаполнением формы аутентификации на другом доверенном устройстве.
«Мы окончательно взломали связку ключей — предназначенную для хранения паролей и других аутентификационных данных приложений на устройствах Apple — и «песочницы» в OS X. Мы также обнаружили пробел в защите механизма взаимодействия приложений друг с другом на OS X и iOS, который позволяет похищать конфиденциальную информацию из Evernote, Facebook и других приложений», — рассказали исследователи.
Однако обнаруженная уязвимость не позволяет вредоносным приложениям получать доступ к данным в «Связка ключей iCloud» напрямую. Для того чтобы похитить логин и пароль, злоумышленник должен создать новую связку паролей и заставить пользователя ввести логин и пароль в поддельную форму аутентификации. Только после этого данные попадут к нему в руки.
Исследователями была написана программа для похищения логинов и паролей из сторонних приложений — с целью изучения проблемы. Примечательно, что компания Apple одобрила это приложение и пропустила его как в Apple App Store, так и Mac App Store.
В «Связке ключей iCloud» найдена серьезная уязвимость
По словам авторов находки, они сообщили Apple об уязвимости в октябре 2014 г. Компания попросила дать есть шесть месяцев на ее устранение, но так этого и не сделала. Эксперты, обнаружившие проблему, в конечном счете решили опубликовать информацию о ней.
