Grupa sześciu badaczy uniwersyteckich twierdzi, że z powodzeniem ominęła rygorystyczne procesy zatwierdzania App Store firmy Apple, aby publikować złośliwe aplikacje na komputery Mac i iOS. Według raportu, zespół przedstawił Apple lukę dnia zerowego w październiku 2014 r. i powiedziano mu, aby milczał na ten temat przez co najmniej sześć miesięcy.
Luyi Xing, badacz bezpieczeństwa, który pomógł ujawnić lukę dnia zerowego, wciąż nie otrzymał odpowiedzi od Apple w sprawie możliwej poprawki.
Zespół powiedział, że z powodu Niebezpieczna luka w zabezpieczeniach Apple, można najechać na pęk kluczy iCloud i ukraść hasła użytkownika. Teoretycznie mogą również przekraść się przez proces zatwierdzania w App Store, aby dostać złośliwe oprogramowanie w ręce każdego, kto nieświadomie pobierze złośliwą aplikację.
Co gorsza, badaczom udało się złamać piaskownice i odkryć możliwość kradzieży haseł z dowolnej aplikacji na iPhonie, preinstalowanej lub innej firmy.
„Niedawno odkryliśmy zestaw zaskakujących zabezpieczeń
luki w systemie Mac OS firmy Apple i iOS, który umożliwia złośliwej aplikacji uzyskanie nieautoryzowanego dostępu do poufnych danych innych aplikacji, takich jak jako hasła i tokeny do iCloud, aplikacji Mail i wszystkich haseł internetowych przechowywanych przez Google Chrome” Xing powiedział Rejestr.Dodał, że jego zespół „zidentyfikował nowe słabości w mechanizmach komunikacji między aplikacjami w systemie operacyjnym X i iOS, które można wykorzystać do kradzieży poufnych danych z Evernote, Facebooka i innych głośnych aplikacje”.
Sześciu badaczy, którzy odkryli dzień zerowy opublikowali swoje ustalenia w 13-stronicowym dokumencie „Unauthorized Cross-App Resource Access on MAC OS X and iOS”. Do tej pory AgileBits, twórca 1Password i Zespół Google ds. bezpieczeństwa Chromium przyznał, że problemu bezpieczeństwa tej wielkości nie można rozwiązać w aplikacjach sami. Apple w końcu będzie musiało zrobić krok naprzód z rozwiązaniem na poziomie systemu operacyjnego.
