Allvarliga nolldagars säkerhetsfel i iOS och OS X kan leda till lösenordsstöld
Är nästan nio månader tillräckligt lång för att åtgärda en allvarlig säkerhetsproblem som hackare kan använda för att stjäla lösenord och plantera skadlig kod som inte upptäcks på datorer och smartphones?
Du skulle verkligen vilja tro det, eller hur?
Speciellt om säkerhetshålen var i hjärtat av iOS och OS X, och företaget som ansvarade för att fixa dem var Apple med sina stora resurser.
Och ändå har alarm larmats idag att Mac- och iDevice-användare förblir i riskzonen, mer än ett halvt år efter att universitetsforskare privat avslöjat detaljer om problemet till Apples säkerhetsteam i Cupertino.
Forskare från Indiana University, Peking University och Georgia Institute of Technology, slog sig samman för att avslöja den allvarliga säkerhetsfrågan, som de dokumenterar i en teknisk uppsats med titeln “Obehörig resurstillgång på flera appar på Mac OS X och iOS.”
I tidningen beskriver forskarna hur de upptäckte allvarliga exploaterbara buggar i Mac OS X och iOS, vilket gör det möjligt för dem att tyst stjäla lösenord från installerade appar.
I en rapport i The Register, som bröt historien, klargörs omfattningen av forskarnas prestation:
Teamet kunde ladda upp skadlig programvara till Apples appbutik och klara kontrollprocessen utan att utlösa varningar. Den skadliga programvaran, när den installerades på offrets enhet, plundrade nyckelringen för att stjäla lösenord för tjänster inklusive iCloud och Mail-appen och alla som lagrats i Google Chrome.
Naturligtvis, om forskarna kunde ladda upp boobytrapped skadliga appar till den officiella App Store utan att Apple upptäcktes, är det naturligt att oroa sig för att andra med kriminell avsikt kanske har lyckats göra detsamma.
I en YouTube-video visar forskarna hur en skadlig app som körs på OS X Yosemite kan stjäla iCloud-tokens som förmodligen är säkert lagrade i nyckelring:
Enligt tidningen orsakas bristen av en “brist på app-till-app och app-till-OS-autentisering”, vilket leder till obehörig resursåtkomst mellan olika appar (XARA). För att bestämma storleken på problemet utvecklade teamet ett verktyg som automatiskt skannade OS X- och iOS-appar för att avgöra om nödvändigt skydd saknades i deras kod.
Häpnadsväckande 88,6% av 1 612 gratis OS X- och iOS-appar som laddats ner från de officiella appbutikerna befanns vara “helt utsatta” för attackerna. Ett resultat som forskarna beskrev som “hemskt”:
”Konsekvenserna är svåra: till exempel på den senaste Mac OS X 10.10.3 hämtade vår sandbox-app framgångsrikt från systemets nyckelring lösenorden och hemliga tokens för iCloud, e-post och alla typer av sociala nätverk som lagras där av systemappen Internet Konton och bank- och Gmail-lösenord från Google Chrome; från olika IPC-kanaler, fångade vi upp användarlösenord som upprätthålls av den populära 1Password-appen (rankad 3: e av MAC App Store) och den hemliga token för Evernote (rankad 3: e i de kostnadsfria ”produktivitetsapparna”); genom att utnyttja BID-sårbarheten samlade också vår app alla privata anteckningar under Evernote och alla foton under WeChat. Vi rapporterade våra resultat till Apple och andra programvaruleverantörer, som alla erkände deras betydelse. ”
Attacker på utsatta appar sägs ha potentiellt allvarliga konsekvenser:
”Specifikt är uppgifter om nyckelring för högprofilerade tjänster (t.ex. iCloud, Gmail, Google Drive, Facebook, Twitter, LinkedIn, etc.) och alla webbkonton i Google Chrome helt utsatta. Alla deras lösenord och hemliga tokens kan samlas in av motståndaren. De som är sårbara för IPC-avlyssning inkluderar Keychain Access, Evernote, 1Password, Pushbullet, etc. Deras känsliga data, såsom autentiseringstoken och till och med nuvarande OS-användares användarnamn och lösenord är på gång. Systemets sårbarhet hittades i 1Password, Dash-lane, Evernote, Kindle, Adobe Revel, Wunderlist, etc., på OS X, genom vilket appanvändares referenser kan samlas in. På iOS visade sig populära appar som Pinterest, Instagram, US Bank (bank), Citi Mobile (bank), PayPal, Amazon, WhatsApp, Dropbox etc. vara exploaterbara. Deras autentiseringstoken och annan information kan stulas. ”
“Observera att alla attackapparna släpptes framgångsrikt av Apple Stores. Så säkerhetshoten är verkligen realistiska. ”
Så det är ett allvarligt problem. Och ännu inte fast.
Universitetsforskarna säger att de först rapporterade sårbarheten till Apple den 15 oktober 2014 och kontaktade dem igen i november 2014 och tidigt i år. De hävdade att Apple berättade för dem att på grund av säkerhetsproblemets komplexa karaktär krävs sex månaders nåd för att utveckla en lösning.
Tyvärr har den åtgärden fortfarande inte dykt upp och forskarna har valt att offentliggöra sina resultat.
Fram till nu, tills en riktig lösning upptäcks, kan det säkraste tillvägagångssättet vara att vara försiktig med vilka appar du laddar ner till dina Mac och iOS-enheter, även om de är listade i den officiella iOS- och Mac App Store – håll dig till appar från kända utvecklare.
Om Graham Cluley
Graham Cluley är en prisbelönt säkerhetsblogger, forskare och talare. Han har arbetat inom datasäkerhetsbranschen sedan början av 1990-talet, efter att ha varit anställd av företag som Sophos, McAfee och Dr Solomon’s. Han har föredrag om datasäkerhet för några av världens största företag, arbetat med brottsbekämpande organ för utredningar av hackingsgrupper och dyker regelbundet upp på TV och radio för att förklara datasäkerhetshot. Graham Cluley togs in i InfoSecurity Europe Hall of Fame 2011 och fick ett hedersomtal i “De 10 största britterna i IT-historien” för sitt bidrag som en ledande myndighet inom internetsäkerhet. Följ honom på Twitter på @gcluley. Visa alla inlägg av Graham Cluley → Det här inlägget postades i Malware, Rekommenderas, Säkerhet & Sekretess, Säkerhetsnyheter och taggade iOS, malware, OS X, sårbarhet, XARA, Zero Day. Bokmärk permalänken.