Daniels Hruska 2014. gada oktobrī sešu pētnieku grupa veiksmīgi apieta visus Apple drošības mehānismus, lai ievietotu lietotni Mac App Store un App Store. Praksē viņi Apple ierīcēs varētu dabūt ļaunprātīgas lietojumprogrammas, kas spētu iegūt ļoti vērtīgu informāciju. Saskaņā ar vienošanos ar Apple, šis fakts nebija jāpublicē apmēram sešus mēnešus, ko pētnieki ievēroja.
Ik pa laikam mēs dzirdam par drošības caurumiem, katrā sistēmā tās ir, bet šī ir patiešām liela. Tas ļauj uzbrucējam nospiest lietotni, izmantojot abus lietotņu stāstus, kas var nozagt iCloud Keychain paroli, lietotni Mail un visas pārlūkprogrammā Google Chrome saglabātās paroles.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
Trūkums var ļaut ļaunprātīgai programmatūrai iegūt paroli no praktiski jebkuras lietotnes, neatkarīgi no tā, vai tā ir iepriekš instalēta vai trešās puses. Grupai izdevās pilnībā pārvarēt smilškastes un tādējādi iegūt datus no visbiežāk izmantotajām aplikācijām, piemēram, Everenote vai Facebook. Visa lieta ir aprakstīta dokumentā "Neatļauta vairāku lietotņu resursu piekļuve operētājsistēmās MAC OS X un iOS".
Apple nav publiski komentējis šo lietu un tikai pieprasījis no pētniekiem sīkāku informāciju. Lai gan Google noņēma atslēgu piekariņa integrāciju, tā neatrisina problēmu kā tādu. 1Password izstrādātāji ir apstiprinājuši, ka nevar 100% garantēt saglabāto datu drošību. Kad uzbrucējs ir iekļuvis jūsu ierīcē, tā vairs nav jūsu ierīce. Apple ir jānāk klajā ar labojumu sistēmas līmenī.
Tā noteikti ir kļūda, taču padoms ir atkarīgs no cilvēka, kuru lietojumprogrammu viņš instalē.
un, ja es instalēju aplikācijas no ofiko App Store, kurām piekļūstu no iPhone noklusējuma "grāmatzīmēm", man nav "uzlauzta" iOS sistēma, tas būs/ir apdraudējis pat manu sīkumu, ptm. mans iPhone ar iOS 8,3? Pēc raksta man ir sajūta, ka tā ir... Un kādas aplikācijas es instalēju? No opcijas "bezmaksas".
Lieta ir tāda, ka šīs ļaunprātīgās programmatūras lietojumprogrammas var iekļūt App Store oficiālā veidā, un lietotājs tās lejupielādē, domājot, ka ar tām viss ir kārtībā, kad tās ir izturējušas Apple pārbaudi. Tāpēc labāk neinstalēt nezināmu izstrādātāju lietojumprogrammas. Vismaz es to tā saprotu.
Tieši tā, kā tu saki. Jebkurā gadījumā esmu diezgan pārsteigts, ja informācija ir patiesa, ka Apple it kā par to zina vairāk nekā pusgadu un neko nav darījis.
Es lēšu, ka Apple, iespējams, pēc informācijas saņemšanas papildināja kontroli App Store, un iPhone/iPad risks šajā ziņā ir minimāls.
Tomēr tam nav jābūt tik nenozīmīgam ar MAC, kur lietojumprogrammas ārpus MacAppStore tiek instalētas diezgan normāli.