Вчера публикувахме в Actualidad iPhone че е открит сериозен проблем със сигурността, който засяга устройства, които използват операционните системи iOS и OS X е кръстен XARA, Неупълномощен достъп до ресурси за различни приложения (X, който предполагам е за "кръстосано") и се стреми към iCloud ключодържателя, което е от особено значение в случая на OS X. Apple трябва да поправи тази грешка, но не е нужно и да се паникьосвате.
В тази статия ще се опитаме да обясним всичко за XARA, какво прави, какво влияе и какво можем да направим, за да предотвратим достъпа на злонамерен потребител до нашите ключови вериги iCloud.
[АКТУАЛИЗАЦИЯ 20 г.] Apple говори за XARA:
„По-рано тази седмица добавихме актуализация на защитата под формата на приложение на сървъра, което защитава данните на приложенията и блокира приложения с проблеми с конфигурацията на пясъчника от Mac App Store.“ Те също отговориха на запитване, казвайки: „Имаме повече кръпки в процес и работим с изследователи, за да разрешим проблема на място“.
Какво е XARA?
XARA е името, използвано за обединяване в същия термин, за да група експлойти, които използват злонамерено приложение, за да получат достъп до защитена информация чрез легитимно приложение. Те правят това, като използват метода „човек в средата“, което означава, че те са между нас и легитимен сървър, използващ фишинг, за да ни подлъжат да им дадем своите пълномощия.
Каква е целта на XARA?
На OS X XARA се стреми да базата данни на iCloud ключодържател (iCloud Keychain), където съхраняваме нашите потребители и пароли; WebSockets, комуникационен канал между приложения и свързани с услуги; и идентификатори на пакети, които само идентифицират приложения на пясъчника и могат да се използват като целеви контейнери за данни.
В iOS XARA е насочена към URL схеми. Кражбата на URL адреси не е уязвимост на операционната система. Може да се използва, ако няма официален механизъм за сигурност, за да се постигне желаната функционалност. Изглежда, че в iOS провалът не е толкова сериозен, тъй като експозицията му е много по-ограничена.
Как се разпределят подвизите?
Изследователите по сигурността създадоха приложения и ги качиха в Mac App Store и App Store. В случай на OS X те могат да бъдат разпространявани и от друг уебсайт и ние можем да ги инсталираме, ако го конфигурираме от системните предпочитания.
Магазините за приложения се опитват да установят дали има злонамерено поведение. Ако открият такова поведение в App Store, какъвто е случаят с XARA, информацията се използва за бъдещи прегледи, за да се предотврати достъп на същите експлойти до App Store в бъдеще. Така App Store не е компрометиран.
Как работят тези приложения?
Казано по-просто, те действат като посредници между обмена на информация или в приложенията на пясъчника. Това, което правят, е да чакат и да „кръстосват пръсти“ в очакване да бъдат използвани. Ако случаят не е такъв, те не могат да направят нищо.
В случай на OS X iCloud Keychain, можете предварително да регистрирате или изтриете и пререгистрирате идентификационни данни. С WebSockets можете предварително да заемете порт. С идентификаторите на пакети можете да добавяте злонамерени подцели към списъците за контрол на достъпа на легитимни приложения.
В iOS можете да отвличате само законни URL адреси и да правите фишинг.
Какъв вид данни са изложени на риск?
ICloud данни за ключодържатели, Websockets и URL адреси.
Какво може да се направи, за да се предотврати XARA?
Най-добрата би била система, в която приложенията ще бъдат надеждно удостоверени във всички възможни комуникации. Това е работата на Apple.
Ако видим, че нещо е изтрито в нашия ключодържател, можем да си помислим, че това е неуспех, но ако видим запис, който не сме направили, е симптом, че някой е имал достъп до него.
Apple трябва да актуализира системата, това е най-важното. И трябва да го направите възможно най-скоро.
Възможно ли е да разбера дали данните ми са прихванати?
В iOS трябва да видим фалшивото приложение поне за миг, преди да преминем към законното приложение. Ако търсим провал, ще забележим, но ако не, ще бъде трудно.
Защо беше публикуван XARA?
Разследващите откриха недостатъка миналата година. Те съобщиха за това на Apple и хората от Купертино ги помолиха за поне 6 месеца, за да разрешат проблема. След 6 месеца изследователите го оповестиха публично.
Най-лошото е, че е безотговорно, което служи само за да станат важни като изследователи по сигурността. Това, което бих направил, когато открия такава грешка, е да работя с компанията, докато тя бъде отстранена. Тогава и само тогава той би публикувал информацията.
Освен това изследователите са признали това Apple работи по него, откакто им беше казано за проблема, така че публикуването на съществуването на този недостатък в сигурността няма да помогне на Apple да бърза. Той ще служи само за популяризиране и излагане на потребителски данни на риск, тъй като сега всеки злонамерен потребител може да използва публикуваната информация.
От друга страна, Apple е поправила много по-важни грешки през това време. И не че XARA не е опасен, ако не и не толкова, че да го приоритизира или да ни алармира, докато го правим. Призив за успокоение.
И така, какво трябва да направим?
XARA е група експлойти, които трябва да бъдат фиксирани, но трябва да бъдат фиксирани от Apple. Както се казва в iMore, който е източникът на тази статия, не е нужно да изпадате в паника, но всеки потребител на Mac, iPhone или iPad трябва да бъде информиран. Докато Apple не реши проблема, най-добре е да се работи както обикновено: не изтегляйте приложения със съмнителен произход. И аз давам два примера: ако изтеглим нова игра от неизвестен разработчик от App Store и те ни помолят да сложим нашата парола за достъп до нашия ключодържател, ние не го правим. И същото с потребителите, които имат джейлбрейк на вашето устройство, но в тези случаи също важно е да използвате ощипванията от официалните хранилища.
Както винаги, вашите статии са много обективни и интересни, поздрави от Мексико!