22.02.2018
МЫ В СОЦСЕТЯХ:   Группа ВКонтакте vashgolos.net Страница vashgolos.net в Facebook Группа vashgolos.net в Одноклассниках Сообщество vashgolos.net в Google+ vashgolos.net в Twitter Страница vashgolos.net в Pinterest

В устройствах Apple найдена «мегадыра», позволяющая воровать любые пароли

На устройствах Apple обнаружена серьезная «дыра», позволяющая похищать любые пароли от различных приложений, как системных, так и сторонних.

 03.09.2015    
 903    

Фото: vashgolos.net

Фото: vashgolos.net

При этом атака совершается незаметно для глаз пользователя, без его участия и незаметно для антивирусных программ.

Новая серьезная уязвимость в OS X

В операционной системе Apple OS X для ноутбуков и настольных компьютеров обнаружена серьезная уязвимость, позволяющая злоумышленникам незаметно красть пароли и другие аутентификационные данные пользователей, сообщает CSO со ссылкой на исследователей Антуана Винсента Джебары (Antoine Vincent Jebara) и Раджу Рабани (Raja Rahbani), основателей ливанской софтверной компании MyKi.

Случайное обнаружение и эксплойт

Работая с OS X в процессе разработке собственного продукта, исследователи обнаружили, что в одном месте, когда система должна попросить ввод пароля для доступа к «Связке ключей», она вместо этого предлагает нажать на кнопку в форме, после чего система предоставляет доступ без ввода пароля. Заметив это, эксперты написали эксплойт для этой уязвимости. Приложение симулирует управление мышью, самостоятельно вызывает эту форму и нажимает в нем на кнопку.

Незаметно для глаз пользователя

При этом весь процесс занимает всего лишь 200 мс. Поэтому пользователь не успевает что-либо заметить, даже если взлом происходит в его присутствии. После получения доступа к «Связке ключей iCloud», похищенные пароли отправляются через iMessage на заданный мобильный телефон. Злоумышленник может сделать так, чтобы отправка осуществлялась на командно-контрольный сервер или чтобы пароли сохранялись в отдельном файле локально на компьютере для последующей отправки.

Внедрение кода в любой объект

Код, симулирующий управление курсором посредством мыши, можно интегрировать во что-угодно. Исследователи, в частности, внедрили его в изображение. После того как это изображение появляется на экране, атака происходит незамедлительно и незаметно для антивирусов. Так как по сути картинка сама по себе не представляет собой опасный объект, а внедренный в нее код — это всего лишь команды управления курсором, объяснили исследователи.

Серьезность ситуации

По словам Джебары, чтобы обезопасить себя от описанной уязвимости проще всего отключить функцию «Связка ключей iCloud» в OS X. Однако без нее работать будет менее удобно, так как ее используют в операционной системе практически все программы. Исследователь добавил, что они уведомили Apple, но соответствующего патча она пока не выпустила.

«Уязвимость может привести к пагубным последствиям. Получается, что вы не сможете открыть ни одно стороннее приложение без риска хищения пароля из него. При этом антивирусные программы бессильны против такого вида атаки», — подчеркнул Джебара.

На вопрос, касается ли описанная проблема устройств под управлением iOS (то есть iPhone, iPad и iPod touch), Джебара ответил, что пароли похищаются из «Связки ключей iCloud», поэтому все пароли, помещенные в нее с мобильного устройства, также уязвимы, потому что «Связка ключей iCloud» едина для всех устройств Apple одного и того же пользователя. Однако эксплойт написан именно для компьютеров.

Что такое «Связка ключей iCloud»

«Связка ключей iCloud» (Keychain) — функция, появившаяся в iOS  OS X 10.9 Mavericks и присутствующая во всех последующих версиях мобильной и настольной систем Apple. Она предназначена для хранения логинов и паролей с различных веб-сайтов, данных кредитных карт, информации о сетях Wi-Fi, логинов и паролей приложений Apple (таких, как Mail, «Контакты», «Календарь» и «Сообщения»), а также логинов и паролей сторонних приложений (таких, как Facebook, Evernote и др). Выбрав опцию «запомнить логин и пароль» на одном устройстве, благодаря «Связке ключей» пользователь может воспользоваться автозаполнением формы аутентификации на другом доверенном устройстве.

Не первая уязвимость такого рода

Это не первая уязвимость, позволяющая похищать логины и пароли из «Связки ключей iCloud». В июне 2015 г. специалисты из Индианского университета и Технологического института Джорджии обнаружили уязвимость в операционных системах iOS и OS X, позволяющую злоумышленникам получить доступ ко всем логинам, паролям и другим данным аутентификации, которые пользователь сохранил в «Связке ключей iCloud».

По материалам: internetua.com

ЧИТАЙТЕ ПО ТЕМЕ:

НА ПРАВАХ РЕКЛАМЫ
НА ПРАВАХ РЕКЛАМЫ
ЕЩЕ В РАЗДЕЛЕ Технологии

РЕКОМЕНДУЕМ
НОВОСТИ С ВИДЕО
ВИДЕО
Samsung представила официальные рекламные ролики ожидаемого Galaxy S9 (ВИДЕО)
Samsung представила официальные рекламные ролики ожидаемого Galaxy S9 (ВИДЕО)
15.02.2018   194
ВИДЕО
NASA испытывает уникальную украинскую разработку (ВИДЕО)
NASA испытывает уникальную украинскую разработку (ВИДЕО)
15.02.2018   114
ВИДЕО
Xiaomi анонсировала умный телевизор Mi LED Smart TV4 толщиной всего 4,9 мм (ВИДЕО)
Xiaomi анонсировала умный телевизор Mi LED Smart TV4 толщиной всего 4,9 мм (ВИДЕО)
14.02.2018   153
ВИДЕО
В Украине создают тренажеры виртуальной реальности (ВИДЕО)
В Украине создают тренажеры виртуальной реальности (ВИДЕО)
11.02.2018   121
ВИДЕО
Ученые NASA показали удивительные кадры сверхгорячего дождя на Солнце (ВИДЕО)
Ученые NASA показали удивительные кадры сверхгорячего дождя на Солнце (ВИДЕО)
05.02.2018   262
РЕКОМЕНДУЕМ
ПОПУЛЯРНЫЕ НОВОСТИ
Сайт может содержать материалы категории 18+    Материалы со знаком   публикуются на правах рекламы.    По вопросам размещения рекламы: orderdsffdsg987f@vashgolos.net

При копировании материалов со страниц сайта для интернет-изданий – обязательна прямая, открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Администрация сайта vashgolos.net прикладывает все усилия, чтобы обеспечить пользователей точной и достоверной информацией, но в то же время не исключает возможности возникновения ошибок. Некоторые ссылки на этом cайте ведут к ресурсам, расположенным на сторонних сайтах. Данные ссылки размещены для удобства пользователей и не означают, что Администрация cайта одобряет содержание других сайтов, их материалов и их точек зрения. Кроме этого, администрация сайта не несет никакой ответственности за доступность этих ресурсов и за их контент. Это заявление относится ко всем ссылкам, представленным на сайте, и материалам всех веб-сайтов, доступных через баннеры и ссылки. За рекламу, размещаемую на сайте, несет ответственность лишь рекламодатель. Администрация сайта не несет ответственности за содержание и достоверность рекламных материалов размещенных на нашем сайте, а так же возможный вред от их использования.

Подписаться на новости  | © 2014-2018 "ВАШ ГОЛОС" - vashgolos.net   |   Мнение и взгляды администрации сайта могут не совпадать с мнением или взглядами авторов материала.
Ответственность за мысли людей, изложенные в комментариях, администрация ответственности не несет.
Рейтинг@Mail.ru Индекс цитирования

Обнаружен AdBlock