21.06.2018
МЫ В СОЦСЕТЯХ:   Группа ВКонтакте vashgolos.net Страница vashgolos.net в Facebook Группа vashgolos.net в Одноклассниках Сообщество vashgolos.net в Google+ vashgolos.net в Twitter Страница vashgolos.net в Pinterest

В устройствах Apple найдена «мегадыра», позволяющая воровать любые пароли

На устройствах Apple обнаружена серьезная «дыра», позволяющая похищать любые пароли от различных приложений, как системных, так и сторонних.

 03.09.2015    
 1030    

Фото: vashgolos.net

Фото: vashgolos.net

При этом атака совершается незаметно для глаз пользователя, без его участия и незаметно для антивирусных программ.

Новая серьезная уязвимость в OS X

В операционной системе Apple OS X для ноутбуков и настольных компьютеров обнаружена серьезная уязвимость, позволяющая злоумышленникам незаметно красть пароли и другие аутентификационные данные пользователей, сообщает CSO со ссылкой на исследователей Антуана Винсента Джебары (Antoine Vincent Jebara) и Раджу Рабани (Raja Rahbani), основателей ливанской софтверной компании MyKi.

Случайное обнаружение и эксплойт

Работая с OS X в процессе разработке собственного продукта, исследователи обнаружили, что в одном месте, когда система должна попросить ввод пароля для доступа к «Связке ключей», она вместо этого предлагает нажать на кнопку в форме, после чего система предоставляет доступ без ввода пароля. Заметив это, эксперты написали эксплойт для этой уязвимости. Приложение симулирует управление мышью, самостоятельно вызывает эту форму и нажимает в нем на кнопку.

Незаметно для глаз пользователя

При этом весь процесс занимает всего лишь 200 мс. Поэтому пользователь не успевает что-либо заметить, даже если взлом происходит в его присутствии. После получения доступа к «Связке ключей iCloud», похищенные пароли отправляются через iMessage на заданный мобильный телефон. Злоумышленник может сделать так, чтобы отправка осуществлялась на командно-контрольный сервер или чтобы пароли сохранялись в отдельном файле локально на компьютере для последующей отправки.

Внедрение кода в любой объект

Код, симулирующий управление курсором посредством мыши, можно интегрировать во что-угодно. Исследователи, в частности, внедрили его в изображение. После того как это изображение появляется на экране, атака происходит незамедлительно и незаметно для антивирусов. Так как по сути картинка сама по себе не представляет собой опасный объект, а внедренный в нее код — это всего лишь команды управления курсором, объяснили исследователи.

Серьезность ситуации

По словам Джебары, чтобы обезопасить себя от описанной уязвимости проще всего отключить функцию «Связка ключей iCloud» в OS X. Однако без нее работать будет менее удобно, так как ее используют в операционной системе практически все программы. Исследователь добавил, что они уведомили Apple, но соответствующего патча она пока не выпустила.

«Уязвимость может привести к пагубным последствиям. Получается, что вы не сможете открыть ни одно стороннее приложение без риска хищения пароля из него. При этом антивирусные программы бессильны против такого вида атаки», — подчеркнул Джебара.

На вопрос, касается ли описанная проблема устройств под управлением iOS (то есть iPhone, iPad и iPod touch), Джебара ответил, что пароли похищаются из «Связки ключей iCloud», поэтому все пароли, помещенные в нее с мобильного устройства, также уязвимы, потому что «Связка ключей iCloud» едина для всех устройств Apple одного и того же пользователя. Однако эксплойт написан именно для компьютеров.

Что такое «Связка ключей iCloud»

«Связка ключей iCloud» (Keychain) — функция, появившаяся в iOS  OS X 10.9 Mavericks и присутствующая во всех последующих версиях мобильной и настольной систем Apple. Она предназначена для хранения логинов и паролей с различных веб-сайтов, данных кредитных карт, информации о сетях Wi-Fi, логинов и паролей приложений Apple (таких, как Mail, «Контакты», «Календарь» и «Сообщения»), а также логинов и паролей сторонних приложений (таких, как Facebook, Evernote и др). Выбрав опцию «запомнить логин и пароль» на одном устройстве, благодаря «Связке ключей» пользователь может воспользоваться автозаполнением формы аутентификации на другом доверенном устройстве.

Не первая уязвимость такого рода

Это не первая уязвимость, позволяющая похищать логины и пароли из «Связки ключей iCloud». В июне 2015 г. специалисты из Индианского университета и Технологического института Джорджии обнаружили уязвимость в операционных системах iOS и OS X, позволяющую злоумышленникам получить доступ ко всем логинам, паролям и другим данным аутентификации, которые пользователь сохранил в «Связке ключей iCloud».

По материалам: internetua.com


ЧИТАЙТЕ ПО ТЕМЕ:

НА ПРАВАХ РЕКЛАМЫ
НА ПРАВАХ РЕКЛАМЫ
ЕЩЕ В РАЗДЕЛЕ Технологии

РЕКОМЕНДУЕМ
НОВОСТИ С ВИДЕО
ВИДЕО
Чтобы смотреть футбол девушкам создали белье с вибратором (ВИДЕО)
Чтобы смотреть футбол девушкам создали белье с вибратором (ВИДЕО)
16.06.2018   127
ВИДЕО
Компания Vivo представила свой смартфон Vivo NEX с кардинально новым дизайном (ВИДЕО)
Компания Vivo представила свой смартфон Vivo NEX с кардинально новым дизайном (ВИДЕО)
14.06.2018   120
ВИДЕО
NASA показала, как бы выглядел полет сквозь туманность Ориона в формате видео 360 (ВИДЕО)
NASA показала, как бы выглядел полет сквозь туманность Ориона в формате видео 360 (ВИДЕО)
18.05.2018   585
ВИДЕО
Компания OnePlus презентовала свой новый флагман 2018 года — OnePlus 6 (ВИДЕО)
Компания OnePlus презентовала свой новый флагман 2018 года — OnePlus 6 (ВИДЕО)
17.05.2018   681
ВИДЕО
Минобороны РФ опубликовало видео с БМПТ «Терминатор» в действии (ВИДЕО)
Минобороны РФ опубликовало видео с БМПТ «Терминатор» в действии (ВИДЕО)
07.05.2018   1875
ПОПУЛЯРНЫЕ НОВОСТИ

РЕКОМЕНДУЕМ
Сайт может содержать материалы категории 18+    Материалы со знаком   публикуются на правах рекламы.    По вопросам размещения рекламы: orderdsffdsg987f@vashgolos.net

При копировании материалов со страниц сайта для интернет-изданий – обязательна прямая, открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Администрация сайта vashgolos.net прикладывает все усилия, чтобы обеспечить пользователей точной и достоверной информацией, но в то же время не исключает возможности возникновения ошибок. Некоторые ссылки на этом cайте ведут к ресурсам, расположенным на сторонних сайтах. Данные ссылки размещены для удобства пользователей и не означают, что Администрация cайта одобряет содержание других сайтов, их материалов и их точек зрения. Кроме этого, администрация сайта не несет никакой ответственности за доступность этих ресурсов и за их контент. Это заявление относится ко всем ссылкам, представленным на сайте, и материалам всех веб-сайтов, доступных через баннеры и ссылки. За рекламу, размещаемую на сайте, несет ответственность лишь рекламодатель. Администрация сайта не несет ответственности за содержание и достоверность рекламных материалов размещенных на нашем сайте, а так же возможный вред от их использования.

Подписаться на новости  | © 2014-2018 "ВАШ ГОЛОС" - vashgolos.net   |   Мнение и взгляды администрации сайта могут не совпадать с мнением или взглядами авторов материала.
Ответственность за мысли людей, изложенные в комментариях, администрация ответственности не несет.
Рейтинг@Mail.ru Индекс цитирования

Обнаружен AdBlock