XARA to katastrofa bezpieczeństwa użytkowników iOS i OS X

Odkrycia kilku naukowców stawiają pod znakiem zapytania bezpieczeństwo krytycznych mechanizmów ochrony danych użytkownika w systemach iOS i OS X, a także system weryfikacji aplikacji dla tych platform. Już kilka miesięcy temu udało im się obejść zabezpieczenia, a Apple pomimo odpowiedniego zgłoszenia, dziur w swoim oprogramowaniu nie załatało.

Stworzone przez naukowców narzędzia wykorzystują niezałatane luki zero-day, które umożliwiają złamanie zabezpieczeń m.in. pęku kluczy (zintegrowanego w systemie menadżera haseł), a także mechanizmu izolowania aplikacji. W efekcie każdy, kto dowie się jak je wykorzystać, będzie w stanie wykradać hasła z programów, zarówno systemowych, jak i instalowanych przez użytkownika. Co gorsza, naukowcy stworzyli nawet szkodliwą aplikację, a następnie przesłali ją do sklepów dla platformy Apple – ta przeszła weryfikację i została zaakceptowana bez wszczynania jakichkolwiek alarmów. Oznacza to, że zagrożone są nawet te osoby, które instalują aplikacje jedynie z (teoretycznie) sprawdzonych i bezpiecznych źródeł.

Na Google Drive znaleźć możemy raport poświęcony zagadnieniu, jakie zostało ochrzczone mianem XARA. Po odkryciu rażących błędów bezpieczeństwa problem został zgłoszony firmie Apple. Miało to miejsce w połowie października ubiegłego roku. Amerykańska korporacja w odpowiedzi poinformowała, że z powodu zaawansowania zagadnienia potrzebuje do jego naprawienia sześciu miesięcy. Czas minął, a błędy nie zostały naprawione i wciąż zagrażają użytkownikom. Jeżeli weźmiemy pod uwagę, że dostępny w systemie Apple menadżer haseł pozwala na zapisywanie danych nie tylko do witryn, ale również np. serwerów FTP, SSH, sieci bezprzewodowych, całych kluczy prywatnych czy certyfikatów, problem staje się bardzo poważny.

Przygotowano również filmy prezentujące udane ataki i wykradanie poufnych danych użytkownika – choć aplikacja powinna być izolowana, luki pozwalają na wymknięcie się z piaskownicy i naruszanie systemu przesyłania danych między różnymi aplikacjami. W pęku kluczy znajdziemy również informacje z aplikacji zewnętrznych, takich jak hasła i tokeny do iCloud, dane z klienta pocztowego, czy do niedawna Google Chrome. Naukowcy poinformowali o problemie także twórców tej przeglądarki, w efekcie usunęli oni integrację z pękiem kluczy, bo było to jedyne rozwiązanie, jakie mogli zastosować w tej sytuacji. Rozwiązania nie znaleźli za to autorzy 1Password, którzy również zostali powiadomieni. Analiza ponad 1800 aplikacji wykazała, że w ponad 88% przypadków może dojść do nieautoryzowanego dostępu do ich zasobów.

Zespół, który odkrył błędy stwierdził, że konsekwencje ich istnienia mogą być katastrofalne. Do czasu załatania dziur korzystanie z systemowego menadżera haseł jest obarczone wielkim ryzykiem, podobnie zresztą jak instalowanie aplikacji z oficjalnych sklepów – w tej sytuacji nikt nie może zagwarantować, że są one bezpieczne. Ma to być natomiast jedynie wierzchołek góry lodowej, która pokazuje wiele zastrzeżeń w kwestii zabezpieczeń, jakie oferują OS X i iOS. Co można zrobić w tej sytuacji? Jak na razie niewiele i w miarę możliwości używać jedynie popularnych i znanych aplikacji.