Μια ομάδα έξι πανεπιστημιακών ερευνητών, αποκάλυψε σοβαρά zero-day flaws στα iOS και OS X της Apple και ισχυρίζεται πως είναι δυνατόν να παραβιαστεί το Apple keychain, να "σπάσουν" τα app sandboxes και να ξεπεραστεί η ασφάλεια του App Store. Τα κενά έχουν σαν αποτέλεσμα την δυνατότητα υποκλοπής κωδικών από οποιαδήποτε εγκατεστημένη εφαρμογή χωρίς να υπάρχει κίνδυνος εντοπισμού του επιτιθέμενου.
Οι ερευνητές κατάφεραν να ανεβάσουν malware στο App Store ξεπερνώντας την διαδικασία ελέγχου, να κλέψουν passwords κάνοντας επιδρομή στο keychain για υπηρεσίες όπως το iCloud και την εφαρμογή Mail. Σοβαρό πρόβλημα εντοπίστηκε και στον Google Chrome για Mac, η ομάδα του οποίου ανταποκρίθηκε και αφαίρεσε το keychain intergration από αυτόν.
Ο επικεφαλής τους δήλωσε πως ενημέρωσαν την Apple και σεβάστηκαν το αίτημα της για να καθυστερήσουν την δημοσίευση της έρευνας τους για 6 μήνες, αλλά από τότε δεν έλαβαν καμιά ενημέρωση και τα κενά εξακολουθούν να είναι παρόντα στις πλατφόρμες της Apple, με κίνδυνο η μελέτη τους που περιγράφει την διαδικασία να χρησιμοποιηθεί για κακόβουλους σκοπούς.
The Indiana University boffins Xing; Xiaolong Bai; XiaoFeng Wang, and Kai Chen, joined Tongxin Li of Peking University and Xiaojing Liao of Georgia Institute of Technology to develop the research detailed in the paper Unauthorized Cross-App Resource Access on MAC OS X and iOS.
"Recently we discovered a set of surprising security vulnerabilities in Apple's Mac OS and iOS that allows a malicious app to gain unauthorised access to other apps' sensitive data such as passwords and tokens for iCloud, Mail app and all web passwords stored by Google Chrome," Xing told The Register's security desk.
"Our malicious apps successfully went through Apple’s vetting process and was published on Apple’s Mac app store and iOS app store.
"We completely cracked the keychain service - used to store passwords and other credentials for different Apple apps - and sandbox containers on OS X, and also identified new weaknesses within the inter-app communication mechanisms on OS X and iOS which can be used to steal confidential data from Evernote, Facebook and other high-profile apps."
The team was able to raid banking credentials from Google Chrome on the latest Mac OS X 10.10.3, using a sandboxed app to steal the system's keychain and secret iCloud tokens, and passwords from password vaults.
Photos were stolen from WeChat and the token for popular cloud service Evernote nabbed allowing it to be fully compromised.
"The consequences are dire," the team wrote in the paper.
Some 88.6 percent of 1612 Mac and 200 iOS apps were found "completely exposed" to unauthorised cross-app resource access (XARA) attacks allowing malicious apps to steal otherwise secure data.
Xing says he reported the flaws to Apple in October 2014.
Apple security officers responded in emails seen by El Reg expressing understanding for the gravity of the attacks and asking for a six month extension and in February requesting an advanced copy of the research paper before it was made public.
Keychain attack demo: steal iCloud authentication token
Keychain Vulnerability of Google Chrome on OS X
BID Attack on OS X Yosemite
Πηγή : The Register
Research paper
Εμφάνιση 1-15 από 30
-
17-06-15, 19:35 Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.864
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
17-06-15, 21:21 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #2
Ααααα γι αυτό είχαν βγάλει σήμερα και καλά τεράστιο κενό ασφαλείας ,όλα τα κλασσικά "ενημερωτικά" site (The Indepedent), στο keyboard της Samsung και παραπληροφορούσαν οτί απλώς αν συνδεθείς σε ένα ανοιχτό wifi μπορούν να σου πάρουν τα πάντα .
Και τίτλους If you own a Samsung , turn it off now ....The 3 most dangerous things in the world are a computer technician with a software patch, a programmer with a screwdriver and a customer with an idea....
Εγκατάσταση Ubuntu και Joomla
-
17-06-15, 22:34 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #3
εφαρμιγή =εφαρμογή
κεκτημένη ταχύτητα..το έκανες το ορθογραφικούλι !
-
17-06-15, 22:53 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #4
Κενό ασφαλείας σε λειτουργικό του Μήλου....; Άντε καλε... Δεν το πιστεύω...
-
18-06-15, 00:13 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #5
Μήλα; τι μήλα;
αυτά εδώ μήπως: http://www.zagorin.gr/Products.aspx?id=11
Να ραντίσουν και να βάλουν φυτοφάρμακα, θα τα φάει το σκουλίκι.
-
18-06-15, 00:53 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #6
Εκτός του εξαιρετικού εργοστασιακού τους σχεδιασμού πάντα το ξέραμε ότι κάθε 1 με 1,5 χρόνο ανοίγει ο Αίολος το ασκί του.
Άλλωστε τα μήλα είναι τα φρούτα με τα περισσότερα ραντίσματα, όποιος θέλει υγιεινή διατροφή πρέπει να τρώει μόνο σπιτικά που τα καλλιεργεί μοναχός του
-
18-06-15, 03:17 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #7
- Εγγραφή
- 06-02-2003
- Περιοχή
- Airstrip One
- Ηλικία
- 50
- Μηνύματα
- 9.217
- Downloads
- 4
- Uploads
- 0
- Άρθρα
- 5
- Τύπος
- ADSL2+
- Ταχύτητα
- 16000/1900
- ISP
- Ο2
clickbait ole!
-
18-06-15, 03:28 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #8
Είναι γνωστό οτι η βασική πρακτική ασφάλειας της apple είναι το security by obscurity. Στο OSX πιάνει λόγω μικρού μερίδιου. Στο ios όχι και τόσο...
-
18-06-15, 08:47 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #9
Κανει μια γκάφα η Samsung ορμάνε οι μισοί, κάνει μια γκάφα η Apple ορμάνε οι άλλοι μισοί.
Portable CD player
-
18-06-15, 09:58 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #10
- Εγγραφή
- 06-02-2003
- Περιοχή
- Airstrip One
- Ηλικία
- 50
- Μηνύματα
- 9.217
- Downloads
- 4
- Uploads
- 0
- Άρθρα
- 5
- Τύπος
- ADSL2+
- Ταχύτητα
- 16000/1900
- ISP
- Ο2
ερμ... ναι, αλλά πρέπει να κατεβάσεις εφαρμογή και να την εγκαταστήσεις, είναι σαν να λέμε "εγκατέστησα keylogger στον υπολογιστή, αλλά νταξ, όλα καλά". Το σενάριο είναι περιορισμένο.
Φαουλ στην Apple που πέρασε η εφαρμογή στο app store, αλλά συνεχίζει να είναι περιορισμένου κινδύνου λόγο διαδικασίας που χρειάζεται.
-
18-06-15, 10:16 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #11
-
18-06-15, 10:16 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #12
Γιατί περνάνε και keyloggers στο appstore?
The 3 most dangerous things in the world are a computer technician with a software patch, a programmer with a screwdriver and a customer with an idea....
Εγκατάσταση Ubuntu και Joomla
-
18-06-15, 19:08 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #13
-
19-06-15, 15:38 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #14
-
19-06-15, 16:12 Απάντηση: Ερευνητές αποκαλύπτουν δημόσια, σοβαρά zero day κενά ασφαλείας στα iOS και OS X #15
- Εγγραφή
- 06-02-2003
- Περιοχή
- Airstrip One
- Ηλικία
- 50
- Μηνύματα
- 9.217
- Downloads
- 4
- Uploads
- 0
- Άρθρα
- 5
- Τύπος
- ADSL2+
- Ταχύτητα
- 16000/1900
- ISP
- Ο2
Το ότι το πρόβλημα ήταν στον Chrome δεν σου λέει κάτι....lol
Επίσης, πρέπει να εγκαταστήσεις κάτι για να τα πάθεις αυτά, οπότε ποιος φταίει...
Παρόμοια Θέματα
-
Τα αποκαλυπτήρια των iOS 9 και OS X El Capitan κάνει στο WWDC 2015 η Apple
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 12Τελευταίο Μήνυμα: 18-06-15, 16:34 -
Σοβαρά προβλήματα ασφαλείας εντοπίστηκαν στο Outlook για iOS και Android
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 6Τελευταίο Μήνυμα: 02-02-15, 20:35 -
Ξεκινάει η διάθεση της έκδοσης OS X Yosemite και την Δευτέρα αναμένεται το νέο iOS 8.1
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 30Τελευταίο Μήνυμα: 21-10-14, 15:49
Bookmarks