Poważna luka odkryta przez amerykański uniwersytet i potwierdzona przez Apple umożliwia kradzież haseł bezpośrednio z aplikacji, przy czym po raz pierwszy w celu przeprowadzenia tych kradzieży zostaje złamany system pęku kluczy firmy Apple.
Badacze z Indiana Institute of Technology dokonali odkrycia i twierdzą, że iOS lub OS X są podatne na ataki. Można je wykorzystać za pomocą aplikacji, którą należy otworzyć na iDevice/Mac, aby wykorzystać system pęku kluczy i ukraść hasła z aplikacji natywnych lub trzecich imprezy.
Wydaje się, że istniejąca luka w obu systemach operacyjnych została potwierdzona przez Apple, Google i inne firmy posiadające aplikacje w App Store, ponieważ przy użyciu tej luki można wykorzystać Facebooka, Evernote, natywne aplikacje iOS i wiele innych stron trzecich.
Naukowcom udało się złamać pęk kluczy, w którym przechowywane są hasła do aplikacji, ale także system komunikacji pomiędzy aplikacjami iOS lub OS X, dzięki czemu można przechwycić przesyłanie danych między nimi w celu odzyskania haseł lub innych poufnych informacji.
Całkowicie złamaliśmy usługę pęku kluczy – używaną do przechowywania haseł i innych danych uwierzytelniających do różnych aplikacji Apple – oraz kontenery piaskownicy w systemie OS X, a także zidentyfikowaliśmy nowe słabe punkty w mechanizmach komunikacji między aplikacjami w systemach OS X i iOS, które można wykorzystać do kradzieży poufnych informacji dane z Evernote, Facebooka i innych znanych aplikacji
Apple był informowany o tym problemie od października, Apple prosił o 6 miesięcy na zabezpieczenie swoich iOS i OS X przed publikacją tej informacji, ale jak dotąd nie zrobił absolutnie nic, aby rozwiązać problemy z publicznych wersji iOS i OS X.
Badaczom udało się nawet opublikować w App Store aplikację ze złośliwym oprogramowaniem, która pozwala wykorzystać lukę, dzięki czemu Apple nawet nie sprawdza aplikacji pod kątem jej istnienia, dzięki czemu każdy może zostać bez problemu zaatakowany przez hakerów.
Według badaczy 90% aplikacji na iOS i OS X jest narażonych na działanie złośliwego oprogramowania, zatem mówimy o ponad 1 milionie aplikacji, które można zainstalować i z których można wykraść hasła lub wiele innych danych.
Twórcy 1Password, być może najpopularniejszego systemu bezpieczeństwa danych i przechowywania haseł, twierdzą, że nie ma metod chroniących użytkowników przed tego typu atakami, w związku z czym Google podjął decyzję o całkowitym usunięciu integracji Keychain z Google Chrome.
Z dodatkowych wyjaśnień wynika, że szkodliwe oprogramowanie jedynie usuwa dane i hasła z pęku kluczy, zmuszając użytkowników do ich ponownego wprowadzenia, a dopiero potem dane są kopiowane i przesyłane hakerom, więc teoretycznie istniejące dane nie zostają naruszone.
Konsekwencje takich ataków są druzgocące i prowadzą do całkowitego ujawnienia najbardziej wrażliwych informacji o użytkowniku (np. haseł) złośliwej aplikacji, nawet jeśli znajduje się ona w piaskownicy. Takie ustalenia […] to tylko wierzchołek góry lodowej.
Najgorsze w takim ataku jest to, że wpływa on zarówno na zwykłe aplikacje, jak i na aplikacje banków i innych instytucji finansowych, dlatego hakerzy mogą przejąć wszelkie dane w celu ich kradzieży.
Biorąc pod uwagę, że iOS 9 umożliwia instalację aplikacji spoza App Store, sprawa staje się jeszcze bardziej skomplikowana.
