En gruppe på seks universitetsforskere hævder at have overgået Apples stramme App Store -godkendelsesprocesser for at udgive Mac- og iOS -malware -apps. Ifølge rapporten præsenterede teamet nul-dages sårbarhed for Apple tilbage i oktober 2014 og blev bedt om at tie om det i mindst seks måneder.
Luyi Xing, en sikkerhedsforsker, der hjalp med at afsløre nul -dages sårbarhed, mangler stadig at høre fra Apple om en mulig løsning.
Holdet sagde, at pga Apples farlige sårbarhed, er det muligt at raidere iCloud -nøglering og stjæle en brugers adgangskoder. De kan teoretisk også snige sig lige forbi App Store -godkendelsesprocessen for at få malware i hænderne på alle, der ubevidst downloader den ondsindede app.
Endnu værre var forskerne i stand til at bryde sandkasser og opdage evnen til at stjæle adgangskoder fra enhver app på iPhone, forudinstalleret eller tredjepart.
”For nylig opdagede vi et sæt overraskende sikkerhed sårbarheder i Apples Mac OS og iOS, der tillader en ondsindet app at få uautoriseret adgang til andre apps følsomme data, f.eks som adgangskoder og tokens til iCloud, Mail -app og alle webadgangskoder, der er gemt af Google Chrome, ”Xing fortalt
Registret.Han tilføjede, at hans team har "identificeret nye svagheder inden for inter-app kommunikationsmekanismer på OS X og iOS, som kan bruges til at stjæle fortrolige data fra Evernote, Facebook og andre højt profilerede apps. ”
De seks forskere, der opdagede nul-dagen offentliggjorde deres fund i et 13-siders dokument "Uautoriseret ressourceadgang på tværs af apps på MAC OS X og iOS." Hidtil har AgileBits, skaberen af 1Password og Googles Chromium -sikkerhedsteam har erkendt, at et sikkerhedsproblem af denne størrelse ikke kan løses i applikationer dem selv. Apple bliver i sidste ende nødt til at træde frem med en løsning på OS -niveau.