Даниэль Хруска 2014 жылдың қазан айында алты зерттеушіден тұратын топ қолданбаны Mac App Store және App Store дүкендеріне орналастыру үшін Apple компаниясының барлық қауіпсіздік тетіктерін сәтті айналып өтті. Іс жүзінде олар Apple құрылғыларына өте құнды ақпаратты ала алатын зиянды қолданбаларды ала алады. Apple компаниясымен келісімге сәйкес, бұл факт шамамен жарты жыл бойы жарияланбауы керек еді, зерттеушілер оны орындады.
Қауіпсіздік саңылауы туралы біз анда-санда естиміз, әр жүйеде олар бар, бірақ бұл өте үлкен. Ол шабуылдаушыға iCloud Keychain құпия сөзін, Mail қолданбасын және Google Chrome браузерінде сақталған барлық құпия сөздерді ұрлай алатын қолданбаны екі қолданба әңгімелері арқылы да итеруге мүмкіндік береді.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
Бұл ақаулық зиянды бағдарламаға алдын ала орнатылған немесе үшінші тарап қолданбасынан іс жүзінде кез келген қолданбадан құпия сөз алуға мүмкіндік береді. Топ құмсалғышты толығымен жеңе алды және осылайша Everenote немесе Facebook сияқты ең көп қолданылатын қолданбалардан деректерді алды. Барлық мәселе құжатта сипатталған «MAC OS X және iOS жүйелеріндегі қолданбалар арасындағы ресурстарға рұқсатсыз кіру».
Apple бұл мәселе бойынша көпшілікке түсініктеме бермеді және тек зерттеушілерден толығырақ ақпарат сұрады. Google кілттік біріктіруді жойғанымен, бұл мәселені шешпейді. 1Password әзірлеушілері сақталған деректердің қауіпсіздігіне 100% кепілдік бере алмайтынын растады. Шабуылдаушы құрылғыңызға кіргеннен кейін ол сіздің құрылғыңыз емес. Apple жүйе деңгейінде түзетуді ойлап табуы керек.
Бұл сөзсіз қате, бірақ кеңес адамның қандай қолданбаны орнататынына байланысты.
және егер мен iPhone-ның әдепкі «бетбелгілерінен» кіретін ofiko App Store дүкенінен қолданбаларды орнатсам, менде «жарылған» iOS жүйесі жоқ, ол тіпті менің кішкентай нәрсеме, ptm-ге қауіп төндіреді / қауіп төндіреді. iOS 8,3 орнатылған iPhone? Мақалада айтылғандай, менде бұл ... Ал мен қандай қосымшаларды орнатамын? «Тегін» опциясынан.
Мұндағы мәселе мынада, бұл зиянды бағдарлама қолданбалары App Store дүкеніне ресми жолмен кіре алады, содан кейін пайдаланушы Apple тексерісінен өткен кезде олар жақсы деп ойлап, оларды жүктеп алады. Сондықтан белгісіз әзірлеушілердің қолданбаларын орнатпаған дұрыс. Кем дегенде, мен оны осылай түсінемін.
Дәл сіз айтқандай. Қалай болғанда да, егер ақпарат рас болса, Apple бұл туралы жарты жылдан астам уақыт бойы білген және бұл туралы ештеңе жасамағанына таң қалдым.
Менің ойымша, Apple ақпаратты алғаннан кейін App Store дүкенінде басқаруды толықтырған болуы мүмкін және iPhone/iPad үшін осыған байланысты тәуекел ең аз.
Дегенмен, MacAppStore-дан тыс қолданбалар қалыпты жағдайда орнатылатын MAC үшін ол соншалықты елеусіз болуы керек емес.