Apple แก้ไขข้อบกพร่องขนาดใหญ่ของ Mac OS X และ iOS บางส่วน

บริษัทแคลิฟอร์เนียระบุว่าได้ติดตั้งแพตช์เมื่อสัปดาห์ที่แล้ว แต่ไม่ได้อยู่ที่ระดับของ Mac OS เนื่องจากการเปิดเผยของนักวิจัยหกคนเกี่ยวกับข้อบกพร่องที่เรียกว่า XARA ("การเข้าถึงทรัพยากรข้ามแอป") หรือ iOS“เราได้ใช้การอัปเดตฝั่งเซิร์ฟเวอร์เพื่อรักษาความปลอดภัยข้อมูลแอปพลิเคชันและบล็อกแอปพลิเคชันใน Mac App Store ที่มีแซนด์บ็อกซ์ที่กำหนดค่าไม่ดี เรามีแพตช์อื่นๆ ที่อยู่ระหว่างการพัฒนา และกำลังหารือเกี่ยวกับการวิเคราะห์ที่เหลือกับนักวิจัย"อธิบายโฆษกของ Apple ในเว็บไซต์ฉันเพิ่มเติม-

กล่าวโดยสรุป Apple เพิ่งวางอุปสรรคใหม่ แต่งานส่วนใหญ่ยังคงต้องดำเนินการ: แก้ไขกลไกระบบที่มีช่องโหว่ที่อนุญาตให้แอปพลิเคชันที่เป็นอันตรายขโมยรหัสผ่านและข้อมูลจากแอปพลิเคชันอื่น (อ่านที่นี่ด้านล่าง)

บทความเผยแพร่เมื่อวันที่ 17 มิถุนายน

Mac OS X และ iOS เสี่ยงต่อการโจรกรรมข้อมูลและรหัสผ่านโดยสิ้นเชิง

ตัวระบุ iCloud, รหัสธนาคาร, รหัสผ่าน 1Password, ภาพถ่าย WeChat… กลุ่มนักวิจัยได้เปิดเผยข้อบกพร่อง 0 วันชุดหนึ่งที่ทำให้พวกเขาสามารถเก็บข้อมูลที่ละเอียดอ่อนได้มากมาย แอปพลิเคชันมากกว่า 88% มีช่องโหว่ ยังไม่มีการแก้ไขในขณะนี้

นี่เป็นก้อนหินขนาดใหญ่ที่กลุ่มนักวิจัย 6 คนซึ่งประสานงานกับ 5 คณะ (มหาวิทยาลัยอินเดียน่าบลูมิงตัน, สถาบันเทคโนโลยีจอร์เจีย, มหาวิทยาลัยปักกิ่ง, มหาวิทยาลัยชิงหัว, สถาบันวิทยาศาสตร์จีน) เพิ่งโยนลงบ่อ พวกเขาต้องการทราบว่าการกันน้ำระดับตำนานของแอปพลิเคชัน iOS และ Mac OS X ซึ่งเป็นหลักการประมวลผลที่ควรป้องกันการรั่วไหลของข้อมูลนั้นมีอยู่จริงหรือไม่ คำตอบ: มันไม่ใช่เลย และเพื่อเป็นการพิสูจน์ว่าพวกเขาได้เปิดเผยข้อบกพร่องร้ายแรงหลายประการซึ่งเสี่ยงต่อการทำให้โจรสลัดมีความสุขไประยะหนึ่ง

ในพวกเขาศึกษานักวิจัยแสดงให้เห็นว่ามีความเป็นไปได้ที่จะสร้างแอพพลิเคชั่นที่เป็นอันตรายบน Mac OS X หรือ iOS ที่สามารถเจาะฐานข้อมูล “พวงกุญแจ” ซึ่งอ้างอิงข้อมูลการตรวจสอบสิทธิ์ของแอพพลิเคชั่นทั้งหมดที่ติดตั้งบนระบบ นี่คือวิธีที่พวกเขาจัดการเพื่อรับข้อมูลประจำตัวของ iCloud, Google, Facebook, Twitter รวมถึงข้อมูลรับรองใด ๆ ที่ Chrome เก็บไว้

การสกัดกั้นข้อมูลได้ทันที

นักวิจัยยังได้พัฒนาแอปพลิเคชันที่สามารถเข้าสู่ “แซนด์บ็อกซ์” ของแอปพลิเคชันได้ กล่าวคือ พื้นที่ที่แอปพลิเคชันเก็บข้อมูลและไม่ควรเข้าถึงได้อย่างสมบูรณ์ ผลลัพธ์: พวกเขาสามารถดูดข้อมูลจาก WeChat (รูปภาพ ข้อความ) Evernote (บันทึกย่อ เอกสาร) และ MoneyControl (งบดุลทางการเงิน) เหนือสิ่งอื่นใด

สุดท้ายนี้ แฮกเกอร์ในมหาวิทยาลัยของเราได้เปิดเผยข้อบกพร่องที่เชื่อมโยงกับกลไกการสื่อสารระหว่างแอปพลิเคชัน เช่น IPC (Inter Process Communication) หรือ URL Scheme ทำให้สามารถสกัดกั้นข้อมูลที่แลกเปลี่ยนกันได้ทันทีโดยที่ผู้ใช้ไม่สามารถรับรู้ได้ว่าเป็นสไตล์ "คนตรงกลาง" ดังนั้นนักวิจัยจึงสามารถดักจับรหัสผ่านทั้งหมดที่รวบรวมโดยตัวจัดการรหัสผ่าน 1Password ผ่านทางส่วนขยายเบราว์เซอร์ หรือโทเค็นการรับรองความถูกต้องที่ Facebook กำหนดให้กับบริการของบุคคลที่สามผ่าน Facebook Connect

การโจมตีทั้งหมดนี้เชื่อมโยงกับข้อเท็จจริงที่ว่าการควบคุมการเข้าถึงทรัพยากรแอปพลิเคชันบางอย่างไม่ได้ดำเนินการหรือดำเนินการไม่ดี นี่คือเหตุผลที่นักวิจัยเรียกการโจมตีเหล่านี้ว่า "การเข้าถึงทรัพยากรข้ามแอป" หรือ "XARA" พวกเขาทดสอบช่องโหว่ของแอปพลิเคชั่น Mac 1,612 แอปพลิเคชั่น และแอปพลิเคชั่น iOS 200 แอปพลิเคชั่น โดยใช้สแกนเนอร์ที่พวกเขาพัฒนาขึ้นเอง ผลลัพธ์ค่อนข้างน่ากังวล: 88.6% ของซอฟต์แวร์มีช่องโหว่

พวกเขาข้ามการควบคุมที่เข้มงวดของ App Store และ Mac App Store

คุณอาจบอกว่าไม่ใช่เรื่องใหญ่อะไร การโจมตีทั้งหมดนี้จำเป็นต้องติดตั้งแอพพลิเคชั่นที่เป็นอันตรายบนระบบ อย่างไรก็ตาม คุณจะดาวน์โหลดแอปพลิเคชันของคุณจาก Mac App Store หรือ App Store เท่านั้น ซึ่งเป็นที่รู้จักในด้านการควบคุมความปลอดภัยที่เข้มงวด ผิดพลาดร้ายแรง! นักวิจัยจัดการวางแอพพลิเคชั่นที่เป็นอันตรายทั้งหมดไว้บนร้านค้าของ Apple ซึ่งเป็นความสำเร็จในตัวเองอยู่แล้ว

ในส่วนของบริษัทในแคลิฟอร์เนียดูเหมือนรำคาญมาก นักวิจัยได้แจ้งให้ Apple ทราบถึงข้อบกพร่องเมื่อเดือนตุลาคมปีที่แล้ว แต่ยังไม่มีการแก้ไขร้ายแรงใดๆ ออกมา ต้องบอกว่าข้อบกพร่องเชื่อมโยงกับกลไกพื้นฐานของระบบ Mac OS X และ iOS นี่ไม่ใช่ข้อผิดพลาดโค้ดธรรมดา แต่เป็นข้อผิดพลาดในการออกแบบ การแก้ไขจึงไม่ใช่เรื่องง่าย เนื่องจากคุณต้องคิดใหม่ว่าระบบทำงานอย่างไร และสอนนักพัฒนาบุคคลที่สามถึงวิธีรวมการป้องกันใหม่เข้ากับแอพของพวกเขา สถานที่ก่อสร้างอันกว้างใหญ่

แหล่งที่มา:

การลงทะเบียน

🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-