08.12.2016
МЫ В СОЦСЕТЯХ:   Группа ВКонтакте vashgolos.net Страница vashgolos.net в Facebook Группа vashgolos.net в Одноклассниках Сообщество vashgolos.net в Google+ vashgolos.net в Twitter Страница vashgolos.net в Pinterest

В устройствах Apple найдена «мегадыра», позволяющая воровать любые пароли

На устройствах Apple обнаружена серьезная «дыра», позволяющая похищать любые пароли от различных приложений, как системных, так и сторонних.

 03.09.2015    
 432    

В устройствах Apple найдена «мегадыра», позволяющая воровать любые пароли

Фото: vashgolos.net

При этом атака совершается незаметно для глаз пользователя, без его участия и незаметно для антивирусных программ.

Новая серьезная уязвимость в OS X

В операционной системе Apple OS X для ноутбуков и настольных компьютеров обнаружена серьезная уязвимость, позволяющая злоумышленникам незаметно красть пароли и другие аутентификационные данные пользователей, сообщает CSO со ссылкой на исследователей Антуана Винсента Джебары (Antoine Vincent Jebara) и Раджу Рабани (Raja Rahbani), основателей ливанской софтверной компании MyKi.

Случайное обнаружение и эксплойт

Работая с OS X в процессе разработке собственного продукта, исследователи обнаружили, что в одном месте, когда система должна попросить ввод пароля для доступа к «Связке ключей», она вместо этого предлагает нажать на кнопку в форме, после чего система предоставляет доступ без ввода пароля. Заметив это, эксперты написали эксплойт для этой уязвимости. Приложение симулирует управление мышью, самостоятельно вызывает эту форму и нажимает в нем на кнопку.

Незаметно для глаз пользователя

При этом весь процесс занимает всего лишь 200 мс. Поэтому пользователь не успевает что-либо заметить, даже если взлом происходит в его присутствии. После получения доступа к «Связке ключей iCloud», похищенные пароли отправляются через iMessage на заданный мобильный телефон. Злоумышленник может сделать так, чтобы отправка осуществлялась на командно-контрольный сервер или чтобы пароли сохранялись в отдельном файле локально на компьютере для последующей отправки.

Внедрение кода в любой объект

Код, симулирующий управление курсором посредством мыши, можно интегрировать во что-угодно. Исследователи, в частности, внедрили его в изображение. После того как это изображение появляется на экране, атака происходит незамедлительно и незаметно для антивирусов. Так как по сути картинка сама по себе не представляет собой опасный объект, а внедренный в нее код — это всего лишь команды управления курсором, объяснили исследователи.

Серьезность ситуации

По словам Джебары, чтобы обезопасить себя от описанной уязвимости проще всего отключить функцию «Связка ключей iCloud» в OS X. Однако без нее работать будет менее удобно, так как ее используют в операционной системе практически все программы. Исследователь добавил, что они уведомили Apple, но соответствующего патча она пока не выпустила.

«Уязвимость может привести к пагубным последствиям. Получается, что вы не сможете открыть ни одно стороннее приложение без риска хищения пароля из него. При этом антивирусные программы бессильны против такого вида атаки», — подчеркнул Джебара.

На вопрос, касается ли описанная проблема устройств под управлением iOS (то есть iPhone, iPad и iPod touch), Джебара ответил, что пароли похищаются из «Связки ключей iCloud», поэтому все пароли, помещенные в нее с мобильного устройства, также уязвимы, потому что «Связка ключей iCloud» едина для всех устройств Apple одного и того же пользователя. Однако эксплойт написан именно для компьютеров.

Что такое «Связка ключей iCloud»

«Связка ключей iCloud» (Keychain) — функция, появившаяся в iOS  OS X 10.9 Mavericks и присутствующая во всех последующих версиях мобильной и настольной систем Apple. Она предназначена для хранения логинов и паролей с различных веб-сайтов, данных кредитных карт, информации о сетях Wi-Fi, логинов и паролей приложений Apple (таких, как Mail, «Контакты», «Календарь» и «Сообщения»), а также логинов и паролей сторонних приложений (таких, как Facebook, Evernote и др). Выбрав опцию «запомнить логин и пароль» на одном устройстве, благодаря «Связке ключей» пользователь может воспользоваться автозаполнением формы аутентификации на другом доверенном устройстве.

Не первая уязвимость такого рода

Это не первая уязвимость, позволяющая похищать логины и пароли из «Связки ключей iCloud». В июне 2015 г. специалисты из Индианского университета и Технологического института Джорджии обнаружили уязвимость в операционных системах iOS и OS X, позволяющую злоумышленникам получить доступ ко всем логинам, паролям и другим данным аутентификации, которые пользователь сохранил в «Связке ключей iCloud».

По материалам: internetua.com

ЧИТАЙТЕ ПО ТЕМЕ:


НА ПРАВАХ РЕКЛАМЫ
НА ПРАВАХ РЕКЛАМЫ

ЕЩЕ В РАЗДЕЛЕ Технологии

НОВОСТИ С ВИДЕО
ВИДЕО
Энтузиасты из Санкт-Петербурга разработали дрон с бескаркасным корпусом (ВИДЕО)
Энтузиасты из Санкт-Петербурга разработали дрон с бескаркасным корпусом (ВИДЕО)
07.12.2016   75
ВИДЕО
Титул лучшей игры 2016 года достался командному сетевому шутеру Overwatch (ВИДЕО)
Титул лучшей игры 2016 года достался командному сетевому шутеру Overwatch (ВИДЕО)
02.12.2016   102
ВИДЕО
Mass Effect: Andromeda — Electronic Arts и BioWare показали новый ролик игрового процесса (ВИДЕО)
Mass Effect: Andromeda — Electronic Arts и BioWare показали новый ролик игрового процесса (ВИДЕО)
02.12.2016   122
ВИДЕО
Хореограф из США разработала танцевальное кресло для инвалидов (ВИДЕО)
Хореограф из США разработала танцевальное кресло для инвалидов (ВИДЕО)
30.11.2016   90
ВИДЕО
Ученые создали балаклаву, которая нагревает вдыхаемый воздух (ВИДОЕ)
Ученые создали балаклаву, которая нагревает вдыхаемый воздух (ВИДОЕ)
26.11.2016   148
РЕКОМЕНДУЕМ
МЫ В FACEBOOK
МЫ В ОДНОКЛАССНИКАХ
ПОПУЛЯРНЫЕ НОВОСТИ
НОВОСТИ ОТ ПАРТНЕРОВ

Сайт может содержать материалы категории 18+    Материалы со знаком   публикуются на правах рекламы.    По вопросам размещения рекламы: orderdsffdsg987f@vashgolos.net

Использование любых материалов, размещенных на сайте, для интернет-изданий разрешается без каких либо ограничений при наличии прямой не закрытой для поисковых систем гиперссылки на vashgolos.net или на страницу с конкретным материалом. Всю ответственность за информацию, размещенную в рекламных материалах, несет рекламодатель.

Подписаться на новости  | © 2014-2016 "ВАШ ГОЛОС" - vashgolos.net   |   Мнение и взгляды администрации сайта могут не совпадать с мнением или взглядами авторов материала.
Рейтинг@Mail.ru Яндекс.Метрика Индекс цитирования

Обнаружен AdBlock