Daniel Hruska Lokakuussa 2014 kuuden tutkijan ryhmä ohitti onnistuneesti kaikki Applen suojausmekanismit sijoittaakseen sovelluksen Mac App Storeen ja App Storeen. Käytännössä he voivat saada Applen laitteisiin haitallisia sovelluksia, jotka voisivat saada erittäin arvokasta tietoa. Applen kanssa tehdyn sopimuksen mukaan tätä tosiasiaa ei julkistettu noin kuuteen kuukauteen, mitä tutkijat noudattivat.
Aina silloin tällöin kuulemme tietoturva-aukosta, jokaisessa järjestelmässä on niitä, mutta tämä on todella suuri. Sen avulla hyökkääjä voi työntää sovelluksen molempien sovellustarinoiden kautta, jotka voivat varastaa iCloud Keychain -salasanan, Mail-sovelluksen ja kaikki Google Chromeen tallennetut salasanat.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
Virhe voi antaa haittaohjelmille mahdollisuuden saada salasanan käytännössä mistä tahansa sovelluksesta, olipa se esiasennettu tai kolmannen osapuolen valmistama. Ryhmä onnistui voittamaan hiekkalaatikon täysin ja sai näin tietoa eniten käytetyistä sovelluksista, kuten Everenotesta tai Facebookista. Koko asia on kuvattu asiakirjassa "Sovelluksien välinen luvaton resurssien käyttö MAC OS X:ssä ja iOS:ssä".
Apple ei ole kommentoinut asiaa julkisesti ja on vain pyytänyt tutkijoilta tarkempia tietoja. Vaikka Google poisti avainnipun integroinnin, se ei ratkaise ongelmaa sellaisenaan. 1Passwordin kehittäjät ovat vahvistaneet, että he eivät voi taata tallennettujen tietojen turvallisuutta 100-prosenttisesti. Kun hyökkääjä pääsee laitteeseesi, se ei ole enää sinun laitteesi. Applen on keksittävä korjaus järjestelmätasolla.
Se on ehdottomasti virhe, mutta neuvot riippuvat henkilöstä, minkä sovelluksen hän asentaa.
ja jos asenna sovelluksia ofiko App Storesta, johon pääsen iPhonen oletus "kirjanmerkeistä", minulla ei ole "särjettyä" iOS-järjestelmää, se tulee / on vaarantanut jopa minun pikkujuttuni, ptm. iPhoneni iOS 8,3:lla? Artikkelin mukaan minulla on tunne, että se on... Ja mitä sovelluksia asensen? "Ilmainen" vaihtoehdosta.
Tässä on kysymys siitä, että nämä haittaohjelmasovellukset pääsevät App Storeen virallisen tien kautta, ja käyttäjä sitten lataa ne ajatellen, että ne ovat kunnossa, kun ne ovat läpäisseet Applen tarkastuksen. Joten on parempi olla asentamatta tuntemattomien kehittäjien sovelluksia. Ainakin näin minä sen ymmärrän.
Juuri niin kuin sanot. Joka tapauksessa olen melko yllättynyt, jos tieto pitää paikkansa, että Apple on väitetysti tiennyt asiasta yli puoli vuotta eikä ole tehnyt asialle mitään.
Arvioin, että Apple luultavasti täydensi hallintaa App Storessa tiedon saatuaan, ja tässä suhteessa riski on minimaalinen iPhonen/iPadin osalta.
Sen ei kuitenkaan tarvitse olla niin vähäpätöistä MACissa, jossa MacAppStoren ulkopuoliset sovellukset asennetaan aivan normaalisti.