Уязвимость в iOS и OS X приводит к краже паролей из Keychain

Исследователи компьютерной безопасности из Университета Индианы и Института технологий Джорджии обнаружили уязвимость в iOS и OS X, которая позволяет вредоносным приложениям красть пароли из сервиса Keychain. Существование уязвимости уже подтверждено Apple, Google и другими компаниями.

Мы полностью взломали сервис Keychain, используемый для хранения паролей и других данных, и определили уязвимость в механизме коммуникаций приложений, которая может использоваться для кражи конфиденциальных данных из Evernote, Facebook и других программ, — пишут разработчики.

Авторы исследования отмечают, что уязвимость была обнаружена еще в октябре прошлого года, и о ней было доложено Apple. Компания попросила шесть месяцев на закрытие, однако она до сих пор существует в обеих операционных системах.

Исследователям удалось также сделать приложение, эксплуатирующее уязвимость, и загрузить его в App Store. По их данным почти 90% приложений уязвимы к такой атаке и могут дать злоумышленникам полный доступ ко всей своей информации, включая логины и пароли.

Компания AgileBits, разработчик 1Password, пишет, что средств защиты от взлома практически нет. Команда безопасности Chromium отмечает, что защититься от такого нападения в принципе невозможно и что интеграция с Keychain будет удалена из Chrome.

Другие исследователи отмечают, что напрямую вредоносное ПО получить доступ к хранилищу не может, оно может перехватить только новые записи, заставив пользователя ввести данные заново и добавив себя в качестве владельца к такой записи.

Пока для защиты рекомендуют подходить к выбору приложений с особой внимательностью и особенно отслеживать случаи «ручного» повторного ввода паролей.