U listopadu 2014. skupina od šest istraživača uspješno je zaobišla sve Appleove sigurnosne mehanizme kako bi postavila aplikaciju na Mac App Store i App Store. U praksi bi mogli ubaciti zlonamjerne aplikacije u Appleove uređaje koji bi mogli dobiti vrlo vrijedne informacije. Prema dogovoru s Appleom, ova činjenica nije smjela biti objavljena oko šest mjeseci, što su istraživači ispoštovali.
Tu i tamo čujemo za sigurnosnu rupu, svaki sustav ih ima, ali ovaj je stvarno velik. Omogućuje napadaču da progura aplikaciju kroz obje App Stories koja može ukrasti lozinku za iCloud Keychain, aplikaciju Mail i sve lozinke pohranjene u Google Chromeu.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
Nedostatak može omogućiti zlonamjernom softveru da dobije lozinku od gotovo bilo koje aplikacije, bilo da je unaprijed instalirana ili aplikacija treće strane. Grupa je uspjela u potpunosti prevladati sandboxing i tako dobiti podatke iz najkorištenijih aplikacija poput Everenotea ili Facebooka. Cijela stvar je opisana u dokumentu "Neovlašteni pristup resursima iz više aplikacija na MAC OS X i iOS".
Apple nije javno komentirao tu stvar i samo je zatražio detaljnije informacije od istraživača. Iako je Google uklonio integraciju privjeska ključeva, to ne rješava problem kao takav. Programeri 1Passworda potvrdili su da ne mogu 100% jamčiti sigurnost pohranjenih podataka. Nakon što napadač uđe u vaš uređaj, to više nije vaš uređaj. Apple mora smisliti popravak na razini sustava.
Definitivno greška, ali savjet ovisi o osobi koju aplikaciju instalira..
a ako instaliram aplikacije iz ofiko App Storea kojem pristupam iz zadanih "bookmarka" iPhonea, nemam "krekiran" iOS sustav, ugrozit će/ugrozio je i moju sitnicu, ptm. moj iPhone s iOS 8,3? Po članku imam osjećaj da je... A koje aplikacije da instaliram? Iz opcije "besplatno".
Ovdje se radi o tome da te malware aplikacije službenim putem mogu dospjeti u App Store, a korisnik ih potom preuzima misleći da su u redu kada su prošle Appleovu inspekciju. Stoga je bolje ne instalirati aplikacije nepoznatih programera. Barem ja to tako shvaćam.
Točno kako kažete. U svakom slučaju, prilično me čudi, ako je informacija točna, da Apple za to navodno zna već više od pola godine i ništa nije poduzeo po tom pitanju.
Procjenjujem da je Apple nakon dobivenih informacija vjerojatno dopunio kontrolu u App Storeu, a rizik po tom pitanju je za iPhone/iPad minimalan.
No, kod MAC-a to ne mora biti tako zanemarivo, gdje se aplikacije izvan MacAppStorea instaliraju sasvim normalno.