Jučer smo objavili u Actualidad iPhone da je otkriven ozbiljan sigurnosni problem koji utječe na uređaje koji koriste operativne sustave iOS i OS X. Problem je krštena XARA, Neovlašteni pristup resursima za više aplikacija (X pretpostavljam da je za "cross") i cilja na iCloud privjesak, što je posebno zabrinjavajuće u slučaju OS X-a. Apple mora ispraviti ovu grešku, ali ni vi ne trebate paničariti.
U ovom ćemo članku pokušati objasniti sve o XARA-i, što čini, na što utječe i što možemo učiniti da spriječimo zlonamjernog korisnika da pristupi našim iCloud privjescima.
[UPDATE 20/6/2015] Apple govori o XARA-i:
"Ranije ovog tjedna dodali smo sigurnosno ažuriranje u obliku aplikacije na poslužitelju koja osigurava podatke aplikacija i blokira aplikacije s problemima konfiguracije pješčanika iz Mac App Storea." Također su odgovorili na upit rekavši da "Imamo još zakrpa u tijeku i radimo s istraživačima kako bismo riješili problem in situ."
Što je XARA?
XARA je naziv koji se koristi za udruživanje u isti pojam kao grupa iskorištavanja koja zlonamjernom aplikacijom koriste pristup za zaštitu podataka putem legitimne aplikacije. To čine metodom "čovjek-u-sredini", što znači da su između nas i legitimnog poslužitelja koji koristi phishing kako bi nas prevarili da im damo svoje vjerodajnice.
Koji je cilj XARA-e?
Na OS X, XARA ima za cilj bazu podataka iCloud privjeska (iCloud Keychain), gdje pohranjujemo svoje korisnike i lozinke; WebSockets, komunikacijski kanal između aplikacija i povezanih sa uslugama; i identifikatore paketa, koji identificiraju samo aplikacije u zaštićenom okruženju i mogu se koristiti kao ciljni spremnici podataka.
Na iOS-u XARA cilja URL sheme. Krađa URL-a nije ranjivost operativnog sustava. Može se koristiti ako nije uspostavljen službeni sigurnosni mehanizam za postizanje željene funkcionalnosti. Čini se da u iOS-u kvar nije toliko ozbiljan jer je njegova izloženost puno ograničenija.
Kako se distribuiraju eksploati?
Istraživači sigurnosti stvorili su aplikacije i prenijeli ih u Mac App Store i App Store. U slučaju OS X-a, također ih može distribuirati drugo web mjesto, a mi ih možemo instalirati ako ga konfiguriramo prema postavkama sustava.
Trgovine aplikacija pokušavaju utvrditi postoji li zlonamjerno ponašanje. Ako otkriju takvo ponašanje u App Storeu, kao što je slučaj s XARA-om, podaci se koriste za buduće preglede kako bi se spriječilo da isti eksploati u budućnosti pristupe App Storeu. Tako App Store nije ugrožen.
Kako funkcioniraju ove aplikacije?
Jednostavno rečeno, oni djeluju kao posrednici između razmjene informacija ili u aplikacijama za testiranje. Ono što rade je čekati i "prekrižiti prste" čekajući da ih se koristi. Ako to nije slučaj, oni ne mogu ništa učiniti.
U slučaju OS X iCloud Keychain, možete unaprijed registrirati ili izbrisati i ponovno registrirati vjerodajnice. Pomoću WebSockets-a možete preventivno zauzeti priključak. Pomoću identifikatora paketa možete dodati zlonamjerne podciljeve na popise za kontrolu pristupa legitimnim aplikacijama.
Na iOS-u možete otimati samo legitimne URL-ove i raditi krađu identiteta.
Kakvi su podaci u opasnosti?
Podaci ICloud privjeska, web-utičnice i URL-ovi.
Što se može učiniti da se XARA spriječi?
Najbolji bi bio sustav u kojem će aplikacije biti sigurno autentificirane u svim mogućim komunikacijama. To je posao Applea.
Ako vidimo da je nešto izbrisano na našem privjesku, možemo misliti da je to neuspjeh, ali ako vidimo zapis koji nismo napravili, simptom je da mu je netko imao pristup.
Apple mora ažurirati sustav, to je najvažnije. I to morate učiniti što je prije moguće.
Je li moguće znati jesu li moji podaci presretnuti?
Na iOS-u moramo barem trenutak vidjeti lažnu aplikaciju prije nego što prijeđemo na legitimnu aplikaciju. Ako tražimo neuspjeh, primijetili bismo, ali ako ne, bilo bi teško.
Zašto je objavljena XARA?
Istražitelji su nedostatak otkrili prošle godine. Prijavili su to Appleu, a ljudi iz Cupertina tražili su od njih najmanje 6 mjeseci da riješe problem. Nakon 6 mjeseci istraživači su to objavili.
Najgore od svega je što je neodgovornost koja služi samo tome da se učini važnima kao istraživači sigurnosti. Kad bih otkrio takvu grešku, radio bih s tvrtkom dok je ne otklonim. Tada bi i tek tada objavio informacije.
Uz to, istraživači su to prepoznali Apple radi na tome otkad im je rečeno o problemu, pa objavljivanje postojanja ove sigurnosne greške neće pomoći Appleu da požuri. Služit će samo za promociju i izlaganje korisničkih podataka riziku, jer sada svaki zlonamjerni korisnik može koristiti objavljene informacije.
S druge strane, Apple je tijekom tog vremena ispravio mnogo važnijih bugova. A nije da XARA nije opasna, ako ne i da je toliko važna da nam je prioritet ili nas uzbuni dok to radimo. Poziv na smirenje.
Pa što da radimo?
XARA je skupina iskorištavanja koje mora popraviti, ali ih mora popraviti Apple. Kako kažu u iMore, koji je izvor ovog članka, ne moraš paničariti, ali bilo koji korisnik Mac, iPhone ili iPad treba biti obaviješten. Dok Apple ne riješi problem, najbolje je poslovati kao i obično: ne preuzimajte programe sumnjivog podrijetla. I stavio sam dva primjera: ako novu aplikaciju preuzmemo od nepoznatog programera iz App Storea i oni zatraže da stavimo lozinku za pristup našem privjesku, to ne radimo. I s korisnicima koji imaju jailbreak na vašem uređaju, ali u tim slučajevima i važno je koristiti prilagodbe iz službenih spremišta.
Kao i uvijek, vaši su članci vrlo objektivni i zanimljivi, pozdrav iz Meksika!