XARA: tout ce que nous devons savoir

Pablo Aparicio

6 Minutes

Sécurité informatique

Hier, nous avons publié dans Actualidad iPhone qu'un grave problème de sécurité a été détecté qui affecte les appareils qui utilisent les systèmes d'exploitation iOS et OS X. Le problème a été baptisé XARA, Accès non autorisé aux ressources inter-applications (le X que je suppose est pour "cross") et vise le trousseau iCloud, particulièrement préoccupant dans le cas d'OS X. Apple doit corriger ce bogue, mais vous n'avez pas non plus à paniquer.

Dans cet article, nous essaierons d'expliquer tout sur XARA, ce qu'il fait, ce qu'il affecte et ce que nous pouvons faire pour empêcher un utilisateur malveillant d'accéder à nos porte-clés iCloud.

[MISE À JOUR 20/6/2015] Apple parle de XARA:

"Plus tôt cette semaine, nous avons ajouté une mise à jour de sécurité sous la forme d'une application sur le serveur qui sécurise les données d'application et bloque les applications avec des problèmes de configuration de bac à sable depuis le Mac App Store." Ils ont également répondu à une question disant: "Nous avons plus de correctifs en cours et nous travaillons avec des chercheurs pour résoudre le problème in situ."

Qu'est-ce que XARA?

XARA est le nom utilisé pour s'unir dans le même terme pour un groupe d'exploits qui utilisent une application malveillante pour accéder à des informations sécurisées via une application légitime. Ils le font en utilisant la méthode "man-in-the-middle", ce qui signifie qu'ils sont entre nous et un serveur légitime utilisant le phishing afin de nous inciter à leur donner nos informations d'identification.

Quel est le but de XARA?

Sur OS X, XARA vise à la base de données du trousseau iCloud (iCloud Keychain), où nous stockons nos utilisateurs et mots de passe; WebSockets, un canal de communication entre les applications et associé aux services; et les identifiants de package, qui identifient uniquement les applications sandbox et peuvent être utilisés comme conteneurs de données cibles.

Sur iOS, XARA cible les schémas d'URL. Le vol d'URL n'est pas une vulnérabilité du système d'exploitation. Il peut être utilisé si un mécanisme de sécurité officiel n'est pas en place pour obtenir la fonctionnalité souhaitée. Il semble que dans iOS l'échec n'est pas si grave puisque son exposition est beaucoup plus limitée.

Comment les exploits sont-ils distribués?

Les chercheurs en sécurité ont créé des applications et les ont téléchargées sur le Mac App Store et l'App Store. Dans le cas d'OS X, ils peuvent également être distribués par un autre site Web et nous pouvons les installer si nous le configurons à partir des préférences du système.

Les magasins d'applications tentent d'identifier s'il existe un comportement malveillant. S'ils détectent un tel comportement dans l'App Store, comme c'est le cas avec XARA, les informations sont utilisées pour de futures révisions afin d'empêcher les mêmes exploits d'accéder à l'App Store à l'avenir. Alors l'App Store n'a pas été compromis.

Comment fonctionnent ces applications?

En termes simples, ils jouent le rôle d'intermédiaires entre les échanges d'informations ou dans les applications sandbox. Ce qu'ils font, c'est attendre et "croiser les doigts" en attendant d'être utilisés. Si ce n'est pas le cas, ils ne peuvent rien faire.

Dans le cas du trousseau iCloud OS X, vous pouvez pré-enregistrer ou supprimer et réenregistrer les informations d'identification. Avec WebSockets, vous pouvez occuper un port de manière préventive. Avec les identificateurs de package, vous pouvez ajouter des sous-objectifs malveillants aux listes de contrôle d'accès des applications légitimes.

Sur iOS, vous ne pouvez détourner que des URL légitimes et faire du phishing.

Quel type de données est à risque?

Données de trousseau ICloud, Websockets et URL.

Que pourrait-on faire pour empêcher XARA?

Le meilleur serait un système dans lequel les applications seront authentifiées en toute sécurité dans toutes les communications possibles. C'est le travail d'Apple.

Si nous voyons que quelque chose a été supprimé sur notre trousseau, nous pouvons penser que c'est un échec, mais si nous voyons un enregistrement que nous n'avons pas fait, c'est le symptôme que quelqu'un y a eu accès.

Apple doit mettre à jour le système, c'est la chose la plus importante. Et vous devez le faire le plus tôt possible.

Est-il possible de savoir si mes données ont été interceptées?

Sur iOS, nous devons voir la fausse application pendant au moins un instant avant de passer à l'application légitime. Si nous recherchons un échec, nous le remarquerions, mais sinon, ce serait difficile.

Pourquoi XARA a-t-il été publié?

Les enquêteurs ont découvert la faille l'année dernière. Ils ont signalé cela à Apple et les gens de Cupertino leur ont demandé au moins 6 mois pour résoudre le problème. Après 6 mois, les chercheurs l'ont rendu public.

Pire encore, c'est une irresponsabilité qui ne sert qu'à donner de l'importance en tant que chercheurs en sécurité. Ce que je ferais en découvrant un tel bogue, c'est de travailler avec l'entreprise jusqu'à ce qu'il soit corrigé. Alors, et alors seulement, il publierait les informations.

De plus, les chercheurs ont reconnu que Apple y travaille depuis qu'ils ont signalé le problème, donc publier l'existence de cette faille de sécurité ne va pas aider Apple à se précipiter. Il ne servira qu'à se promouvoir et à mettre en danger les données des utilisateurs, puisque désormais tout utilisateur malveillant peut utiliser les informations publiées.

D'autre part, Apple a corrigé de nombreux bogues plus importants pendant cette période. Et ce n'est pas que XARA n'est pas dangereux, mais que ce n'est pas tant que de le prioriser ou de nous alarmer comme nous le faisons. Un appel au calme.

Alors, que devrions-nous faire?

XARA est un groupe d'exploits qui doivent être corrigés, mais doivent être corrigés par Apple. Comme on dit dans iMore, qui est la source de cet article, tu n'as pas à paniquer, mais tout utilisateur d'un Mac, iPhone ou iPad doit être informé. Jusqu'à ce qu'Apple résout le problème, le mieux est de continuer à fonctionner: ne téléchargez pas d'applications d'origine douteuse. Et je mets deux exemples: si on télécharge un nouveau jeu d'un développeur inconnu depuis l'App Store et qu'on nous demande de mettre notre mot de passe pour accéder à notre trousseau, on ne le fait pas. Et la même chose avec les utilisateurs qui ont le jailbreak sur votre appareil, mais dans ces cas également il est important d'utiliser les modifications des référentiels officiels.


Ça t'intéresse:
Selon Apple, c'est l'entreprise la plus efficace au monde en matière de sécurité
Suivez-nous sur Google Actualités

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Manuel González dit
    il ya 9 ans.

    Comme toujours, vos articles sont très objectifs et intéressants, salutations du Mexique!

    Réponse à Manuel González