Nowy błąd iOS pozwala atakującym monitorować wszystkie twoje stuknięcia i naciśnięcia klawiszy

Apple pozwala używać Touch ID do odblokowywania iPhone'a i robienia zakupów za pośrednictwem iTunes Store, ale jailbreakerzy mają inne pomysły.

Apple właśnie zakończył łatanie paskudny błąd goto fail w iOS 7 i OS X, ale raport pokazuje, że wykryto inną lukę w systemie iOS, która daje atakującym dostęp do każdego dotknięcia, w tym naciśnięć klawiszy.

Nowa luka odkryta przez Ogniste Oko działa na iPhone'ach i iPadach bez jailbreaka z systemem iOS w wersji 7.0.4 na urządzeniach z systemem iOS 7.0.4 7.0.5 i 7.0.6, a także na urządzeniach z systemem 6.1.x.

FireEye mówi, że współpracowali z Apple w sprawie błędu i stworzyli aplikację monitorującą weryfikację koncepcji, która rejestruje zdarzenia dotykowe dla użytkownika w tle. Luka wykorzystuje zasoby, które iOS udostępnia aplikacjom działającym w tle, aby rejestrować naciśnięcia na ekranie, przycisk Home, przyciski głośności i TouchID bez wykrycia przez użytkownika.

insta stories

Aplikacja monitorująca nie może dokładnie określić, który klawisz naciskasz, ale raczej rejestruje współrzędne X i Y każdego dotknięcia, ale te informacje można łatwo wykorzystać do odszyfrowania naciśnięć klawiszy.

Atakujący mogą wykorzystać exploita, zwabiając ofiary na strony phishingowe w celu zainstalowania złośliwej aplikacji lub wykorzystać inną zdalną lukę w zabezpieczeniach jakiejś aplikacji, a następnie monitorować ją w tle.

Oczekuje na naprawę błędu, ale aby uniknąć luki w zabezpieczeniach, jedynym sposobem działania, jaki mogą podjąć użytkownicy iOS, jest zabicie aplikacji działających w tle, aby zapobiec niepożądanemu monitorowaniu.