У кастрычніку 2014 года група з шасці даследчыкаў паспяхова абышла ўсе механізмы бяспекі Apple, каб размясціць прыкладанне ў Mac App Store і App Store. На практыцы яны маглі б атрымаць шкоднасныя прыкладанні ў прылады Apple, якія маглі б атрымаць вельмі каштоўную інфармацыю. Па дамоўленасці з Apple гэты факт не павінен быў публікавацца каля паўгода, што даследчыкі выконвалі.
Час ад часу мы чуем пра дзіркі ў бяспецы, яны ёсць у кожнай сістэме, але гэтая сапраўды вялікая. Гэта дазваляе зламысніку праштурхнуць праграму праз App Stories, якая можа скрасці пароль iCloud Keychain, праграму Mail і ўсе паролі, якія захоўваюцца ў Google Chrome.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
Недахоп можа дазволіць шкоднасным праграмам атрымаць пароль практычна ад любой праграмы, папярэдне ўсталяванай або старонняй. Групе ўдалося цалкам пераадолець пясочніцу і такім чынам атрымаць дадзеныя з найбольш часта выкарыстоўваюцца прыкладанняў, такіх як Everenote або Facebook. Усё гэта апісана ў дакуменце «Несанкцыянаваны міжпраграмны доступ да рэсурсаў у MAC OS X і iOS».
Apple не каментавала публічна гэтую тэму і толькі запытала больш падрабязную інфармацыю ў даследчыкаў. Хоць Google выдаліў інтэграцыю бірулькі, гэта не вырашае праблему як такую. Распрацоўшчыкі 1Password пацвердзілі, што не могуць на 100% гарантаваць бяспеку захаваных даных. Як толькі зламыснік пранікае ў вашу прыладу, гэта ўжо не ваша прылада. Apple павінна прыдумаць выпраўленне на сістэмным узроўні.
Безумоўна, гэта памылка, але парады залежаць ад чалавека, якое прыкладанне ён усталёўвае..
і калі я ўсталёўваю прыкладанні з ofiko App Store, да якога я атрымліваю доступ з "закладак" iPhone па змаўчанні, у мяне няма "ўзламанай" сістэмы iOS, гэта паставіць пад пагрозу нават маю дробязь, ptm. мой iPhone з iOS 8,3? Па артыкуле ў мяне такое адчуванне, што гэта... А якія прыкладанні я ўсталёўваю? З «бясплатнага» варыянту.
Справа тут у тым, што гэтыя шкоднасныя прыкладанні могуць патрапіць у App Store афіцыйным шляхам, а потым карыстальнік спампоўвае іх, думаючы, што яны ў парадку, калі яны прайшлі праверку Apple. Так што лепш не ўсталёўваць прыкладання ад невядомых распрацоўшчыкаў. Прынамсі, я гэта так разумею.
Дакладна так, як вы кажаце. Ва ўсялякім разе, я вельмі здзіўлены, калі інфармацыя праўдзівая, што Apple нібыта ведала пра гэта больш за паўгода і нічога з гэтым не зрабіла.
Я мяркую, што Apple, верагодна, дапоўніла кантроль у App Store пасля атрымання інфармацыі, і рызыка ў гэтым плане мінімальная для iPhone/iPad.
Тым не менш, гэта не павінна быць так нязначна з MAC, дзе прыкладанні па-за межамі MacAppStore усталёўваюцца даволі нармальна.