r   e   k   l   a   m   a
r   e   k   l   a   m   a

XARA to katastrofa bezpieczeństwa użytkowników iOS i OS X

Strona główna AktualnościOPROGRAMOWANIE

Odkrycia kilku naukowców stawiają pod znakiem zapytania bezpieczeństwo krytycznych mechanizmów ochrony danych użytkownika w systemach iOS i OS X, a także system weryfikacji aplikacji dla tych platform. Już kilka miesięcy temu udało im się obejść zabezpieczenia, a Apple pomimo odpowiedniego zgłoszenia, dziur w swoim oprogramowaniu nie załatało.

Stworzone przez naukowców narzędzia wykorzystują niezałatane luki zero-day, które umożliwiają złamanie zabezpieczeń m.in. pęku kluczy (zintegrowanego w systemie menadżera haseł), a także mechanizmu izolowania aplikacji. W efekcie każdy, kto dowie się jak je wykorzystać, będzie w stanie wykradać hasła z programów, zarówno systemowych, jak i instalowanych przez użytkownika. Co gorsza, naukowcy stworzyli nawet szkodliwą aplikację, a następnie przesłali ją do sklepów dla platformy Apple – ta przeszła weryfikację i została zaakceptowana bez wszczynania jakichkolwiek alarmów. Oznacza to, że zagrożone są nawet te osoby, które instalują aplikacje jedynie z (teoretycznie) sprawdzonych i bezpiecznych źródeł.

Na Google Drive znaleźć możemy raport poświęcony zagadnieniu, jakie zostało ochrzczone mianem XARA. Po odkryciu rażących błędów bezpieczeństwa problem został zgłoszony firmie Apple. Miało to miejsce w połowie października ubiegłego roku. Amerykańska korporacja w odpowiedzi poinformowała, że z powodu zaawansowania zagadnienia potrzebuje do jego naprawienia sześciu miesięcy. Czas minął, a błędy nie zostały naprawione i wciąż zagrażają użytkownikom. Jeżeli weźmiemy pod uwagę, że dostępny w systemie Apple menadżer haseł pozwala na zapisywanie danych nie tylko do witryn, ale również np. serwerów FTP, SSH, sieci bezprzewodowych, całych kluczy prywatnych czy certyfikatów, problem staje się bardzo poważny.

r   e   k   l   a   m   a

Przygotowano również filmy prezentujące udane ataki i wykradanie poufnych danych użytkownika – choć aplikacja powinna być izolowana, luki pozwalają na wymknięcie się z piaskownicy i naruszanie systemu przesyłania danych między różnymi aplikacjami. W pęku kluczy znajdziemy również informacje z aplikacji zewnętrznych, takich jak hasła i tokeny do iCloud, dane z klienta pocztowego, czy do niedawna Google Chrome. Naukowcy poinformowali o problemie także twórców tej przeglądarki, w efekcie usunęli oni integrację z pękiem kluczy, bo było to jedyne rozwiązanie, jakie mogli zastosować w tej sytuacji. Rozwiązania nie znaleźli za to autorzy 1Password, którzy również zostali powiadomieni. Analiza ponad 1800 aplikacji wykazała, że w ponad 88% przypadków może dojść do nieautoryzowanego dostępu do ich zasobów.

Zespół, który odkrył błędy stwierdził, że konsekwencje ich istnienia mogą być katastrofalne. Do czasu załatania dziur korzystanie z systemowego menadżera haseł jest obarczone wielkim ryzykiem, podobnie zresztą jak instalowanie aplikacji z oficjalnych sklepów – w tej sytuacji nikt nie może zagwarantować, że są one bezpieczne. Ma to być natomiast jedynie wierzchołek góry lodowej, która pokazuje wiele zastrzeżeń w kwestii zabezpieczeń, jakie oferują OS X i iOS. Co można zrobić w tej sytuacji? Jak na razie niewiele i w miarę możliwości używać jedynie popularnych i znanych aplikacji.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.