В iPhone, iPad и Mac найдена опасная уязвимость

Серьезная «дыра» выявлена в операционных системах от Apple – iOS и OS X. Ее обнаружили эксперты из Индианского университета и Технологического института Джорджии. Такая уязвимость предоставляет возможность хакерам добраться до всех логинов и паролей, как и до прочих данных аутентифиации, сохраненные пользователем в так называемой «Связке ключей iCloud» (Keychain).

 

Эта новая функция стала частью iOS 7.0.3 и OS X 10.9 Mavericks, и теперь она имеется во всех очередных версиях операционных систем Apple. Это относится как к мобильной, так и к настольной ОС.

 

Ее предназначение в том, чтобы хранить разнообразные «секретные» данные, в том числе, например, логины и пароли, информацию о кредитных карточках и сетях Wi-Fi, персональные данные из приложений Apple. Скажем, это относится к почте, календарю, контактам, текстовым сообщениям.

 

А еще она же хранит логины и пароли различных сторонних приложений. Например, это относится к Facebook, Evernote и прочим. Пользователь, когда выбирает опцию «запомнить логин и пароль» на одном конкретном устройстве, за счет функции «связка ключей» имеет возможность воспользоваться автозаполнением формы аутентификации и на любом другом доверенном устройстве.

 

 

По словам исследователей, им удалось эффективно взломать такую «связку ключей», на устройствах Apple, а также для «песочницы» в OS X. Ими также был выявлен существенный пробел в защитном механизме взаимодействия между приложениями на OS X и iOS. Именно он и способствует тому, что можно похитить частные данные из Facebook, Evernote и прочих сторонних приложений.

 

Отметим, что выявленная учеными уязвимость не дает никакого шанса для вредоносных приложений, чтобы напрямую получить доступ к конфиденциальной информации в «Связка ключей iCloud».

 

Как оказалось, атакующему хакеру для того, чтобы похитить и логин, и пароль, необходимо сделать собственную связку паролей, а также принудить пользователя к тому, чтобы он ввел свои логин и пароль в фальшивую форму аутентификации. Лишь тогда необходимые сведения окажутся у злоумышленника в руках.

 

Ученые в свою очередь написали собственную специальную программу, предназначенную для кражи логинов и паролей из сторонних приложений. На это им пришлось пойти, чтобы всесторонне изучить эту проблему. Интересно, что компанией Apple созданное приложение также было одобрено.

 

Кстати, авторы исследования рассказали о том, что они уже поставили в известность Apple о выявленной уязвимости. Это было осенью минувшего года. Компания попросила полгода на то, чтобы «дыру» можно было устранить. Однако этого она так и не сделала. Эксперты, которыми проблема и была выявлена, в конце концов, пришли к выводу о том, что есть резон обнародовать информацию о ней.