Vulnérabilité « zero day » dans iOS et OS X permettra de voler toutes les données du porte-clés d'Apple

Des experts de l'Université d'Indiana et l'Institut de technologie de Géorgie dans les systèmes d'exploitation d'Apple d'étude ont identifié la menace que l'on appelle de « jour zéro ». Cette vulnérabilité dans le logiciel de sécurité pourrait conduire au vol de code secret de l'utilisateur, le service est fissuré d'Apple porte-clés, en gardant la paire de connexions et mots de passe.

Selon le site le registre, Les chercheurs de vulnérabilité, Apple en Octobre l'année dernière. En réponse à Apple a demandé six mois n'a pas publié les détails sur le « trou » et permettre aux spécialistes de l'entreprise pour résoudre le problème. En Février 2015, le premier travail pour éliminer le danger était encore, et probablement à la publication du moratoire a été prolongé.

Selon le personnel de l'université, ils ont pu casser le nouveau mécanisme de communication entre les applications « bac à sable ». Dans iOS 8 d'Apple permis isolés programmes antérieurs s'envoient des informations sur les comptes et faciliter ainsi processus d'autorisation de l'utilisateur dans des applications tierces. Cette occasion et a profité des experts de la sécurité des États-Unis, tout d'abord créer une application spéciale, puis par les avoir volé les mots de passe d'autres produits de l'App Store et Mac App Store. Étonnamment, les modérateurs d'Apple magasins d'applications n'a pas eu des problèmes avec l'approbation des programmes logiciels et pilotes malveillants avec des virus tombent dans les deux magasins.

Les développeurs d'applications populaires, traitant des tableaux de mots de passe, ont répondu à la vulnérabilité des façons différentes. Ainsi, le créateur de 1Password a dit qu'il ne voit aucun moyen de se protéger contre l'exploit trouvé. Une équipe qui est responsable de la sécurité du navigateur Chrome tout peut abandonner le soutien d'Apple Keychain dans Chrome pour iOS et OS X.

Il est intéressant de noter que, malgré le danger apparent, la vulnérabilité ne gagne pas automatiquement accès à tous les mots de passe à la fois. A propos ainsi que d'autres virus dans l'iOS et OS X, ce hack nécessite une action de l'utilisateur. Une personne devra entrer votre login et mot de passe sur leur propre. Dans ce cas, la fenêtre d'autorisation sera remplacé par un faux, et les données vont pas à l'application, mais les attaquants.

Autour de la même façon de voler les mots de passe récemment démontrée Un autre spécialiste de la sécurité. Peut-être qu'il exploite la même vulnérabilité, et le personnel des universités américaines. Cependant, alors qu'il était limité à une fenêtre d'autorisation forgée dans iCloud, mais il a dit qu'il sera possible de falsifier une fenêtre pop-up. Quoi qu'il en soit, après plusieurs mois d'attente pour une réponse d'Apple cette personne a déjà posé une description détaillée de la vulnérabilité du Web, et les pirates peuvent l'utiliser à tout moment.

La seule recommandation pour une des phrases types de sécurité peut devenir dans une telle situation sur l'installation d'applications provenant de sources de confiance et la lecture des emails d'amis seulement contacts.

via