В октябре 2014 года группа из шести исследователей успешно обошла все механизмы безопасности Apple и разместила приложение в Mac App Store и App Store. На практике они могли занести на устройства Apple вредоносные приложения, которые могли бы получить очень ценную информацию. По соглашению с Apple этот факт не должен был публиковаться около полугода, что исследователи и выполнили.
Время от времени мы слышим о дырах в безопасности, они есть в каждой системе, но эта действительно большая. Это позволяет злоумышленнику протолкнуть приложение через обе истории приложений, которые могут украсть пароль iCloud Keychain, приложение Mail и все пароли, хранящиеся в Google Chrome.
[youtube id="S1tDqSQDngE" width="620″ height="350″]
Уязвимость позволяет вредоносному ПО получить пароль практически от любого приложения, как предустановленного, так и стороннего. Группе удалось полностью преодолеть песочницу и таким образом получить данные из наиболее используемых приложений, таких как Everenote или Facebook. Все дело описано в документе «Несанкционированный доступ к ресурсам между приложениями в MAC OS X и iOS».
Apple не давала публичных комментариев по этому поводу и лишь запросила более подробную информацию у исследователей. Хоть Google и удалил интеграцию с цепочкой ключей, это не решает проблему как таковую. Разработчики 1Password подтвердили, что не могут на 100% гарантировать безопасность хранимых данных. Как только злоумышленник проникнет в ваше устройство, оно перестанет быть вашим устройством. Apple должна найти решение на системном уровне.
Это определенно ошибка, но совет зависит от человека, какое приложение он устанавливает..
а если я устанавливаю приложения из ofiko App Store, к которому я обращаюсь из стандартных "закладок" айфона, то у меня не "треснутая" система iOS, это поставит под угрозу даже мою мелочь, птм. мой iPhone с iOS 8,3? По статье такое ощущение, что так оно и есть... А какие приложения устанавливать? Из «бесплатного» варианта.
Дело здесь в том, что эти вредоносные приложения могут попасть в App Store официальным путем, и пользователь затем загружает их, думая, что с ними все в порядке, поскольку они прошли проверку Apple. Так что лучше не устанавливать приложения от неизвестных разработчиков. По крайней мере, я так понимаю.
Именно так, как вы говорите. В любом случае, я весьма удивлён, если информация правдива, что Apple якобы знала об этом уже более полугода и ничего не предприняла.
По моим оценкам, Apple, вероятно, добавила контроль в App Store после того, как получила информацию незаметно, и риск в этом отношении минимален для iPhone/iPad.
Однако это не должно быть столь незначительно для MAC, где приложения вне MacAppStore устанавливаются вполне нормально.