28.02.2020
МЫ В СОЦСЕТЯХ:   Группа ВКонтакте vashgolos.net Страница vashgolos.net в Facebook Группа vashgolos.net в Одноклассниках vashgolos.net в Twitter Страница vashgolos.net в Pinterest

В устройствах Apple найдена «мегадыра», позволяющая воровать любые пароли

На устройствах Apple обнаружена серьезная «дыра», позволяющая похищать любые пароли от различных приложений, как системных, так и сторонних.

 03.09.2015    
 1395    

При этом атака совершается незаметно для глаз пользователя, без его участия и незаметно для антивирусных программ.

Новая серьезная уязвимость в OS X

В операционной системе Apple OS X для ноутбуков и настольных компьютеров обнаружена серьезная уязвимость, позволяющая злоумышленникам незаметно красть пароли и другие аутентификационные данные пользователей, сообщает CSO со ссылкой на исследователей Антуана Винсента Джебары (Antoine Vincent Jebara) и Раджу Рабани (Raja Rahbani), основателей ливанской софтверной компании MyKi.

Случайное обнаружение и эксплойт

Работая с OS X в процессе разработке собственного продукта, исследователи обнаружили, что в одном месте, когда система должна попросить ввод пароля для доступа к «Связке ключей», она вместо этого предлагает нажать на кнопку в форме, после чего система предоставляет доступ без ввода пароля. Заметив это, эксперты написали эксплойт для этой уязвимости. Приложение симулирует управление мышью, самостоятельно вызывает эту форму и нажимает в нем на кнопку.

Незаметно для глаз пользователя

При этом весь процесс занимает всего лишь 200 мс. Поэтому пользователь не успевает что-либо заметить, даже если взлом происходит в его присутствии. После получения доступа к «Связке ключей iCloud», похищенные пароли отправляются через iMessage на заданный мобильный телефон. Злоумышленник может сделать так, чтобы отправка осуществлялась на командно-контрольный сервер или чтобы пароли сохранялись в отдельном файле локально на компьютере для последующей отправки.

Внедрение кода в любой объект

Код, симулирующий управление курсором посредством мыши, можно интегрировать во что-угодно. Исследователи, в частности, внедрили его в изображение. После того как это изображение появляется на экране, атака происходит незамедлительно и незаметно для антивирусов. Так как по сути картинка сама по себе не представляет собой опасный объект, а внедренный в нее код — это всего лишь команды управления курсором, объяснили исследователи.

Серьезность ситуации

По словам Джебары, чтобы обезопасить себя от описанной уязвимости проще всего отключить функцию «Связка ключей iCloud» в OS X. Однако без нее работать будет менее удобно, так как ее используют в операционной системе практически все программы. Исследователь добавил, что они уведомили Apple, но соответствующего патча она пока не выпустила.

«Уязвимость может привести к пагубным последствиям. Получается, что вы не сможете открыть ни одно стороннее приложение без риска хищения пароля из него. При этом антивирусные программы бессильны против такого вида атаки», — подчеркнул Джебара.

На вопрос, касается ли описанная проблема устройств под управлением iOS (то есть iPhone, iPad и iPod touch), Джебара ответил, что пароли похищаются из «Связки ключей iCloud», поэтому все пароли, помещенные в нее с мобильного устройства, также уязвимы, потому что «Связка ключей iCloud» едина для всех устройств Apple одного и того же пользователя. Однако эксплойт написан именно для компьютеров.

Что такое «Связка ключей iCloud»

«Связка ключей iCloud» (Keychain) — функция, появившаяся в iOS  OS X 10.9 Mavericks и присутствующая во всех последующих версиях мобильной и настольной систем Apple. Она предназначена для хранения логинов и паролей с различных веб-сайтов, данных кредитных карт, информации о сетях Wi-Fi, логинов и паролей приложений Apple (таких, как Mail, «Контакты», «Календарь» и «Сообщения»), а также логинов и паролей сторонних приложений (таких, как Facebook, Evernote и др). Выбрав опцию «запомнить логин и пароль» на одном устройстве, благодаря «Связке ключей» пользователь может воспользоваться автозаполнением формы аутентификации на другом доверенном устройстве.

Не первая уязвимость такого рода

Это не первая уязвимость, позволяющая похищать логины и пароли из «Связки ключей iCloud». В июне 2015 г. специалисты из Индианского университета и Технологического института Джорджии обнаружили уязвимость в операционных системах iOS и OS X, позволяющую злоумышленникам получить доступ ко всем логинам, паролям и другим данным аутентификации, которые пользователь сохранил в «Связке ключей iCloud».

По материалам: internetua.com

ВАШЕ ОТНОШЕНИЕ К СОБЫТИЮ / МАТЕРИАЛУ:


ЧИТАЙТЕ ПО ТЕМЕ:

НА ПРАВАХ РЕКЛАМЫ
НА ПРАВАХ РЕКЛАМЫ
ЕЩЕ В РАЗДЕЛЕ Технологии

РЕКОМЕНДУЕМ
НОВОСТИ С ВИДЕО
ВИДЕО
Компания Motorola может показать новые смартфоны серии Moto G8 уже 23 февраля (ВИДЕО)
Компания Motorola может показать новые смартфоны серии Moto G8 уже 23 февраля (ВИДЕО)
06.02.2020   144
ВИДЕО
Sony PlayStation 5 и DualShock 5 показали в качественном трейлере (ВИДЕО)
Sony PlayStation 5 и DualShock 5 показали в качественном трейлере (ВИДЕО)
05.02.2020   240
ВИДЕО
Motorola перенесла дату выпуска раскладного смартфона Motorola Razr на 6 февраля (ВИДЕО)
Motorola перенесла дату выпуска раскладного смартфона Motorola Razr на 6 февраля (ВИДЕО)
24.01.2020   276
ВИДЕО
Компания Mojo Vision создала дисплей, встроенный в контактную линзу (ВИДЕО)
Компания Mojo Vision создала дисплей, встроенный в контактную линзу (ВИДЕО)
23.01.2020   161
ВИДЕО
Компания Xiaomi создала графический планшет Mijia Blackboard по цене 13 долларов (ВИДЕО)
Компания Xiaomi создала графический планшет Mijia Blackboard по цене 13 долларов (ВИДЕО)
21.01.2020   256
ПОПУЛЯРНЫЕ НОВОСТИ

РЕКОМЕНДУЕМ
Сайт может содержать материалы категории 18+    Материалы со знаком   публикуются на правах рекламы.    По вопросам размещения рекламы: orderdsffdsg987f@vashgolos.net

При копировании материалов со страниц сайта для интернет-изданий – обязательна прямая, открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Администрация сайта vashgolos.net прикладывает все усилия, чтобы обеспечить пользователей точной и достоверной информацией, но в то же время не исключает возможности возникновения ошибок. Некоторые ссылки на этом cайте ведут к ресурсам, расположенным на сторонних сайтах. Данные ссылки размещены для удобства пользователей и не означают, что Администрация cайта одобряет содержание других сайтов, их материалов и их точек зрения. Кроме этого, администрация сайта не несет никакой ответственности за доступность этих ресурсов и за их контент. Это заявление относится ко всем ссылкам, представленным на сайте, и материалам всех веб-сайтов, доступных через баннеры и ссылки. За рекламу, размещаемую на сайте, несет ответственность лишь рекламодатель. Администрация сайта не несет ответственности за содержание и достоверность рекламных материалов размещенных на нашем сайте, а так же возможный вред от их использования.

Подписаться на новости  | © 2014-2020 "ВАШ ГОЛОС" - vashgolos.net   |   Мнение и взгляды администрации сайта могут не совпадать с мнением или взглядами авторов материала.
Ответственность за мысли людей, изложенные в комментариях, администрация ответственности не несет.
Индекс цитирования
143 / 973

Обнаружен AdBlock