Ayer publicamos en Actualidad iPhone que se había detectado un problema de seguridad grave que afecta a dispositivos que usan sistemas los operativos iOS y OS X. El problema er blevet døbt XARA, Uautoriseret Cross-app Resource Access (den X jeg antager er "cross") og sigter mod iCloud nøglering, der er særlig bekymret i tilfælde af OS X. Apple har brug for at rette denne fejl, men du behøver heller ikke gå i panik.
I denne artikel vil vi forsøge at forklare alt om XARA, hvad det gør, hvad det påvirker, og hvad vi kan gøre for at forhindre en ondsindet bruger i at få adgang til vores iCloud-nøgleringe.
[UPDATE 20/6/2015] Apple taler om XARA:
"Tidligere på ugen tilføjede vi en sikkerhedsopdatering i form af en applikation på serveren, der sikrer applikationsdata og blokerer applikationer med sandkassekonfigurationsproblemer fra Mac App Store." De svarede også på en forespørgsel, der sagde, at "Vi har flere patches i gang, og vi arbejder med forskere for at løse problemet in situ."
Hvad er XARA?
XARA er navnet, der bruges til at forene sig i samme betegnelse til en gruppe bedrifter, der bruger en ondsindet applikation til at få adgang til sikre oplysninger gennem en legitim applikation. De gør dette ved at bruge metoden "mand-i-midten", hvilket betyder, at de er mellem os og en legitim server, der bruger phishing, for at narre os til at give dem vores legitimationsoplysninger.
Hvad er målet med XARA?
På OS X sigter XARA mod at iCloud-nøgleringens database (iCloud nøglering), hvor vi gemmer vores brugere og adgangskoder; WebSockets, en kommunikationskanal mellem applikationer og tilknyttet tjenester; og pakkeidentifikatorer, som kun identificerer sandkasseapplikationer og kan bruges som måldatabeholdere.
På iOS er XARA målrettet mod URL-ordninger. URL-tyveri er ikke et operativsystemsårbarhed. Det kan bruges, hvis en officiel sikkerhedsmekanisme ikke er på plads for at opnå den ønskede funktionalitet. Det ser ud til, at fejlen i iOS ikke er så alvorlig, da eksponeringen er meget mere begrænset.
Hvordan fordeles udnyttelser?
Sikkerhedsforskere oprettede applikationer og uploadede dem til Mac App Store og App Store. I tilfælde af OS X kan de også distribueres af et andet websted, og vi kan installere dem, hvis vi konfigurerer det ud fra systemindstillingerne.
App-butikker forsøger at identificere, om der er ondsindet adfærd. Hvis de opdager en sådan adfærd i App Store, som det er tilfældet med XARA, bruges oplysningerne til fremtidige anmeldelser for at forhindre, at den samme udnyttelse får adgang til App Store i fremtiden. Så App Store var ikke kompromitteret.
Hvordan fungerer disse applikationer?
Enkelt sagt fungerer de som mellemled mellem udveksling af information eller i sandkasseapplikationer. Hvad de gør er at vente og "krydse fingrene" og vente på at blive brugt. Hvis dette ikke er tilfældet, kan de ikke gøre noget.
I tilfælde af OS X iCloud nøglering kan du forregistrere eller slette og omregistrere legitimationsoplysninger. Med WebSockets kan du forkert besætte en port. Med pakkeidentifikatorer kan du tilføje ondsindede subtargets til legitime applikations adgangskontrollister.
På iOS kan du kun kapre legitime webadresser og phishing.
Hvilken type data er i fare?
ICloud nøglering data, websockets og webadresser.
Hvad kunne der gøres for at forhindre XARA?
Det bedste ville være et system, hvor applikationer vil blive godkendt sikkert i al mulig kommunikation. Det er Apples job.
Hvis vi ser, at noget er blevet slettet på vores nøglering, kan vi tro, at det er en fiasko, men hvis vi ser en registrering, som vi ikke har lavet, er det et symptom på, at nogen har haft adgang til det.
Apple er nødt til at opdatere systemet, det er det vigtigste. Og du skal gøre det så hurtigt som muligt.
Er det muligt at vide, om mine data er blevet opfanget?
På iOS skal vi se den falske app i mindst et øjeblik, inden vi går videre til den legitime app. Hvis vi leder efter en fiasko, vil vi bemærke, men hvis ikke, ville det være svært.
Hvorfor blev XARA offentliggjort?
Efterforskere opdagede fejlen sidste år. De rapporterede det til Apple, og Cupertino-folket bad dem i mindst 6 måneder for at løse problemet. Efter 6 måneder har forskerne offentliggjort det.
Værst af alt er det en uansvarlighed, der kun tjener til at gøre sig selv vigtige som sikkerhedsforskere. Hvad jeg ville gøre, når jeg opdagede en sådan fejl, er at arbejde med virksomheden, indtil den er rettet. Derefter og først da ville han offentliggøre oplysningerne.
Derudover har forskere erkendt det Apple har arbejdet på det, siden de fik at vide om problemet, så at offentliggøre eksistensen af denne sikkerhedsfejl vil ikke hjælpe Apple med at skynde sig. Det tjener kun til at promovere sig selv og sætte brugerdata i fare, da nu kan enhver ondsindet bruger bruge de offentliggjorte oplysninger.
På den anden side har Apple rettet mange flere vigtige fejl i løbet af denne tid. Og det er ikke, at XARA ikke er farligt, hvis ikke, at det ikke er så meget som at prioritere det eller alarmere os, som vi gør det. Et kald til ro.
Så hvad skal vi gøre?
XARA er en gruppe udnyttelser, der skal rettes, men skal løses af Apple. Som de siger i iMore, som er kilden til denne artikel, du behøver ikke gå i panik, men enhver bruger af en Mac, iPhone eller iPad skal informeres. Indtil Apple løser problemet, er det bedste som normalt: download ikke applikationer af tvivlsom oprindelse. Og jeg nævner to eksempler: hvis vi downloader et nyt spil fra en ukendt udvikler fra App Store, og de beder os om at sætte vores adgangskode for at få adgang til vores nøglering, gør vi det ikke. Og det samme med brugere, der har jailbreak på din enhed, men i disse tilfælde også det er vigtigt at bruge tweaks fra de officielle arkiver.
Som altid er dine artikler meget objektive og interessante, hilsner fra Mexico!