През октомври 2014 г. група от шестима изследователи успешно заобиколиха всички механизми за сигурност на Apple, за да поставят приложение в Mac App Store и App Store. На практика те биха могли да вкарат злонамерени приложения в устройства на Apple, които биха могли да получат много ценна информация. Съгласно споразумение с Apple, този факт не трябваше да бъде публикуван около шест месеца, което изследователите спазиха.
От време на време чуваме за дупки в сигурността, всяка система ги има, но тази е наистина голяма. Той позволява на атакуващия да прокара приложение през двете App Stories, което може да открадне паролата на iCloud Keychain, приложението Mail и всички пароли, съхранени в Google Chrome.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
Пропускът може да позволи на зловреден софтуер да получи парола от почти всяко приложение, независимо дали е предварително инсталирано или на трета страна. Групата успява напълно да преодолее sandboxing и по този начин получава данни от най-използваните приложения като Everenote или Facebook. Цялата работа е описана в документа „Неупълномощен достъп до ресурси между приложения на MAC OS X и iOS“.
Apple не е коментирала публично въпроса и само е поискала по-подробна информация от изследователите. Въпреки че Google премахна интеграцията на ключодържателя, това не решава проблема като такъв. Разработчиците на 1Password потвърдиха, че не могат да гарантират 100% сигурността на съхраняваните данни. След като нападател влезе във вашето устройство, то вече не е вашето устройство. Apple трябва да предложи корекция на системно ниво.
Определено е грешка, но съветът зависи от човека, кое приложение инсталира..
и ако инсталирам приложения от ofiko App Store, до които влизам от стандартните "отметки" на iPhone, нямам "кракната" iOS система, ще / е застрашила дори моята дреболия, ptm. моя iPhone с iOS 8,3? Според статията имам чувството, че е... А какви приложения да инсталирам? От опцията "безплатно".
Въпросът тук е, че тези злонамерени приложения могат да влязат в App Store по официалния път и след това потребителят ги изтегля, мислейки, че са добре, след като са преминали проверката на Apple. Така че е по-добре да не инсталирате приложения от неизвестни разработчици. Поне аз така го разбирам.
Точно както казвате. Във всеки случай съм доста изненадан, ако информацията е вярна, че Apple уж са знаели за това повече от половин година и не са направили нищо по въпроса.
Предполагам, че Apple вероятно е допълнил контрола в App Store след получаване на информацията и рискът е минимален в това отношение за iPhone/iPad.
Това обаче не трябва да е толкова пренебрежимо малко при MAC, където приложенията извън MacAppStore се инсталират съвсем нормално.