Դանիել Հրուսկա 2014 թվականի հոկտեմբերին վեց հետազոտողների խումբը հաջողությամբ շրջանցեց Apple-ի անվտանգության բոլոր մեխանիզմները՝ հավելված տեղադրելու Mac App Store-ում և App Store-ում: Գործնականում նրանք կարող էին վնասակար հավելվածներ մտցնել Apple սարքերի մեջ, որոնք կկարողանային շատ արժեքավոր տեղեկություններ ստանալ: Apple-ի հետ պայմանավորվածության համաձայն՝ այս փաստը չպետք է հրապարակվեր մոտ վեց ամիս, ինչին հետազոտողները կատարել են։
Ժամանակ առ ժամանակ մենք լսում ենք անվտանգության անցքի մասին, յուրաքանչյուր համակարգ ունի դրանք, բայց այս մեկն իսկապես մեծ է: Այն հարձակվողին թույլ է տալիս հավելվածը մղել երկու App Stories-ի միջոցով, որը կարող է գողանալ iCloud Keychain-ի գաղտնաբառը, Mail հավելվածը և Google Chrome-ում պահված բոլոր գաղտնաբառերը:
[youtube id=”S1tDqSQDngE” լայնություն=”620″ բարձրություն=”350″]
Թերությունը կարող է թույլ տալ չարամիտ ծրագրերին գաղտնաբառ ստանալ գրեթե ցանկացած հավելվածից՝ լինի նախապես տեղադրված, թե երրորդ կողմի: Խմբին հաջողվել է ամբողջությամբ հաղթահարել sandboxing-ը և այդպիսով ստանալ տվյալներ ամենաշատ օգտագործվող հավելվածներից, ինչպիսիք են Everenote-ը կամ Facebook-ը։ Ամբողջ հարցը նկարագրված է փաստաթղթում «Չարտոնված միջհավելվածային ռեսուրսների հասանելիություն MAC OS X-ում և iOS-ում».
Apple-ը հրապարակայնորեն չի մեկնաբանել այդ հարցը և միայն ավելի մանրամասն տեղեկություններ է խնդրել հետազոտողներից: Չնայած Google-ը հեռացրել է keychain-ի ինտեգրումը, այն որպես այդպիսին չի լուծում խնդիրը: 1Password-ի մշակողները հաստատել են, որ չեն կարող 100%-ով երաշխավորել պահված տվյալների անվտանգությունը։ Երբ հարձակվողը մտնում է ձեր սարքը, այն այլևս ձեր սարքը չէ: Apple-ը պետք է շտկվի համակարգի մակարդակով:
Միանշանակ սխալ է, բայց խորհուրդը կախված է նրանից, թե որ հավելվածն է տեղադրում։
իսկ եթե ես տեղադրեմ հավելվածներ ofiko App Store-ից, որոնց մուտք եմ գործում iPhone-ի լռելյայն «էջանիշներից», ապա ես չունեմ «ճաքած» iOS համակարգ, դա կվտանգի / կվտանգի նույնիսկ իմ փոքրիկ բանը՝ ptm: իմ iPhone-ը iOS 8,3-ով: Ըստ հոդվածի՝ ես այնպիսի զգացողություն ունեմ, որ դա... Իսկ ի՞նչ հավելվածներ եմ տեղադրում։ «Ազատ» տարբերակից։
Բանն այստեղ այն է, որ այս չարամիտ հավելվածները կարող են մուտք գործել App Store պաշտոնական ճանապարհով, և օգտվողը այնուհետև ներբեռնում է դրանք՝ մտածելով, որ իրենք լավ են, երբ անցել են Apple-ի ստուգումը: Այսպիսով, ավելի լավ է չտեղադրել անհայտ ծրագրավորողների հավելվածները: Համենայն դեպս ես այդպես եմ հասկանում։
Հենց այնպես, ինչպես դու ես ասում. Համենայն դեպս, ես բավականին զարմացած եմ, եթե տեղեկությունը համապատասխանում է իրականությանը, որ Apple-ն իբր գիտի այդ մասին ավելի քան կես տարի և ոչինչ չի արել դրա հետ կապված:
Ես գնահատում եմ, որ Apple-ը հավանաբար լրացրել է հսկողությունը App Store-ում տեղեկատվություն ստանալուց հետո, և այդ առումով ռիսկը նվազագույն է iPhone/iPad-ի համար։
Այնուամենայնիվ, դա պարտադիր չէ, որ այն այդքան աննշան լինի MAC-ի հետ, որտեղ MacAppStore-ից դուրս հավելվածները տեղադրվում են բավականին նորմալ: