Naukowcy z Uniwersytetu Indiana i Georgia Institute of Technology ujawnili istnienie poważnych luk w bezpieczeństwie systemów iOS i OS X, pozwalających złośliwym aplikacjom na wykradzenie haseł z Pęku Kluczy oraz innych aplikacji.

Kolejna odkryta przez nich luka w komunikacji pomiędzy aplikacjami pozwala na kradzież poufnych danych z takich programów jak Evernote czy Facebook. Grozę budzi nie tylko sam fakt istnienia tego typu luk, ale to, że zdaniem odkrywców Apple zostało poinformowane o ich istnieniu już rok temu. Firma przyjąć miała do wiadomości informację o skali zagrożenia, a w lutym bieżącego roku zwróciła się do nich o dodatkowe informacje. Niestety wspomniane luki występują także w najnowszych wersjach obu systemów. Co gorsza wspomniani naukowcy przygotowali aplikacje zawierające złośliwy kod wykorzystujący te luki, które udało im się z powodzeniem umieścić w sklepach App Store i Mac App Store. Przeszły więc one weryfikację Apple.

Przetestowano ich działanie na wielu aplikacjach, z których większość była całkowicie bezbronna, pozwalając złośliwym programom na dostęp do loginów i haseł oraz innych przechowywanych w nich danych. Ze względu na lukę w iOS i OSX tego typu atakom nie jest w stanie przeciwstawić się nawet 1Password, co przyznała tworząca je firma AgileBits.

Złośliwy kod wykorzystujący lukę w bezpieczeństwie może usuwać stworzone przez inne programy klucze z hasłami w Pęku Kluczy, a następnie tworzyć własne niejako w ich imieniu. Po podmianie takiego klucza właściwy program poprosi użytkownika o ponowne podanie danych logowania, które zapisze w tym stworzonym przez złośliwą aplikację.

Ze względu na obecność luk w iOS i OS X nie ma właściwie możliwości obrony przed tego typu atakiem. Pozostaje niepobieranie ze sklepów aplikacji stworzonych przez deweloperów, do których nie ma się zaufania.

Źródło: 9To5Mac