Daniel Hruska 2014. aasta oktoobris läks kuuest teadlasest koosnev rühm edukalt mööda kõigist Apple'i turvamehhanismidest, et paigutada rakendus Mac App Store'i ja App Store'i. Praktikas võivad nad Apple'i seadmetesse saada pahatahtlikke rakendusi, mis suudaksid hankida väga väärtuslikku teavet. Apple'iga sõlmitud kokkuleppe kohaselt ei tohtinud seda fakti umbes kuus kuud avaldada, mida teadlased järgisid.
Aeg-ajalt kuuleme turvaaugust, igas süsteemis on need olemas, kuid see on tõesti suur. See võimaldab ründajal suruda rakendus läbi mõlema App Storiesi, mis võib varastada iCloud Keychaini parooli, rakenduse Mail ja kõik Google Chrome'i salvestatud paroolid.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
Viga võib lubada pahavaral hankida parooli peaaegu igast rakendusest, olgu see siis eelinstallitud või kolmanda osapoole rakendus. Grupp suutis liivakastist täielikult üle saada ja nii sai andmeid enimkasutatud rakendustest nagu Everenote või Facebook. Kogu asja on dokumendis kirjeldatud Volitamata rakendusteülene juurdepääs ressurssidele MAC OS X-is ja iOS-is.
Apple pole seda asja avalikult kommenteerinud ning on uurinud vaid uurijatelt täpsemat infot. Kuigi Google eemaldas võtmehoidja integreerimise, ei lahenda see probleemi kui sellist. 1Passwordi arendajad on kinnitanud, et ei saa 100% garanteerida salvestatud andmete turvalisust. Kui ründaja satub teie seadmesse, pole see enam teie seade. Apple peab süsteemi tasemel lahenduse leidma.
See on kindlasti viga, kuid nõuanne sõltub inimesest, millise rakenduse ta installib.
ja kui ma installin rakendusi ofiko App Store'ist, millele pääsen ligi iPhone'i vaikimisi "järjehoidjatest", siis mul pole iOS-i süsteemi "mõranenud", see seab/on ohustanud isegi minu pisiasja, ptm. minu iPhone iOS 8,3-ga? Artikli järgi on mul tunne, et see on... Ja milliseid rakendusi ma installin? "Tasuta" valikust.
Asi on selles, et need pahavararakendused pääsevad ametlikul teel App Store'i ja kasutaja laadib need seejärel alla arvates, et Apple'i kontrolli läbimisel on nendega kõik korras. Seetõttu on parem mitte installida tundmatute arendajate rakendusi. Vähemalt mina saan asjast nii aru.
Täpselt nii, nagu sa ütled. Mina olen igal juhul pigem üllatunud, kui info tõele vastab, et Apple on sellest väidetavalt juba üle poole aasta teadnud ega ole sellega midagi ette võtnud.
Arvan, et Apple täiendas ilmselt pärast info saamist App Store'i kontrolli ja risk selles osas on iPhone/iPadi puhul minimaalne.
Siiski ei pea see olema nii tühine MAC-i puhul, kus väljaspool MacAppStore'i rakendusi installitakse üsna normaalselt.