Новости
Уязвимость в iOS и OS X приводит к краже паролей из Keychain
Компания AgileBits, разработчик 1Password, пишет, что средств защиты от взлома практически нет. Команда безопасности Chromium отмечает, что защититься от такого нападения в принципе невозможно.
Исследователи компьютерной безопасности из Университета Индианы и Института технологий Джорджии обнаружили уязвимость в iOS и OS X, которая позволяет вредоносным приложениям красть пароли из сервиса Keychain. Существование уязвимости уже подтверждено Apple, Google и другими компаниями.
Мы полностью взломали сервис Keychain, используемый для хранения паролей и других данных, и определили уязвимость в механизме коммуникаций приложений, которая может использоваться для кражи конфиденциальных данных из Evernote, Facebook и других программ, — пишут разработчики.
Авторы исследования отмечают, что уязвимость была обнаружена еще в октябре прошлого года, и о ней было доложено Apple. Компания попросила шесть месяцев на закрытие, однако она до сих пор существует в обеих операционных системах.
Исследователям удалось также сделать приложение, эксплуатирующее уязвимость, и загрузить его в App Store. По их данным почти 90% приложений уязвимы к такой атаке и могут дать злоумышленникам полный доступ ко всей своей информации, включая логины и пароли.
Компания AgileBits, разработчик 1Password, пишет, что средств защиты от взлома практически нет. Команда безопасности Chromium отмечает, что защититься от такого нападения в принципе невозможно и что интеграция с Keychain будет удалена из Chrome.
Другие исследователи отмечают, что напрямую вредоносное ПО получить доступ к хранилищу не может, оно может перехватить только новые записи, заставив пользователя ввести данные заново и добавив себя в качестве владельца к такой записи.
Пока для защиты рекомендуют подходить к выбору приложений с особой внимательностью и особенно отслеживать случаи «ручного» повторного ввода паролей.