Ieri am publicat în Actualidad iPhone que se había detectado un problema de seguridad grave que afecta a dispositivos que usan sistemas los operativos iOS y OS X. El problema a fost botezat XARA, Acces neautorizat la resurse cross-app (X presupun că este pentru „încrucișat”) și vizează brelocul iCloud, fiind deosebit de îngrijorător în cazul OS X. Apple trebuie să remedieze această eroare, dar nici nu trebuie să intrați în panică.
În acest articol vom încerca să explicăm totul despre XARA, ce face, ce afectează și ce putem face pentru a împiedica un utilizator rău intenționat să acceseze brelocurile noastre iCloud.
[ACTUALIZARE 20] Apple vorbește despre XARA:
„La începutul acestei săptămâni am adăugat o actualizare de securitate sub forma unei aplicații de pe server care securizează datele aplicației și blochează aplicațiile cu probleme de configurare a sandbox-ului din Mac App Store.” De asemenea, aceștia au răspuns la o întrebare spunând că „Avem mai multe patch-uri în curs și lucrăm cu cercetătorii pentru a aborda problema in situ”.
Ce este XARA?
XARA este numele folosit pentru a se uni în același termen cu un grup de exploit-uri care utilizează o aplicație rău intenționată pentru a avea acces la informații securizate printr-o aplicație legitimă. Acestea fac acest lucru folosind metoda „man-in-the-middle”, ceea ce înseamnă că sunt între noi și un server legitim care folosește phishing pentru a ne păcăli să le oferim acreditările noastre.
Care este scopul XARA?
Pe OS X, XARA își propune să baza de date a brelocurilor iCloud (iCloud Keychain), unde stocăm utilizatorii și parolele noastre; WebSockets, un canal de comunicare între aplicații și asociat cu servicii; și identificatori de pachete, care identifică doar aplicațiile sandbox și pot fi folosiți ca containere de date țintă.
Pe iOS, XARA vizează schemele URL. Furtul de adrese URL nu este o vulnerabilitate a sistemului de operare. Poate fi utilizat dacă nu există un mecanism oficial de securitate pentru a atinge funcționalitatea dorită. Se pare că în iOS eșecul nu este atât de grav, deoarece expunerea sa este mult mai limitată.
Cum sunt distribuite exploit-urile?
Cercetătorii de securitate au creat aplicații și le-au încărcat în Mac App Store și App Store. În cazul OS X, acestea pot fi distribuite și de către un alt site web și le putem instala dacă îl configurăm din preferințele sistemului.
Magazinele de aplicații încearcă să identifice dacă există un comportament rău intenționat. Dacă detectează un astfel de comportament în App Store, așa cum este cazul XARA, informațiile sunt utilizate pentru recenzii viitoare pentru a preveni accesul acelorași exploatări la App Store în viitor. Asa de App Store nu a fost compromis.
Cum funcționează aceste aplicații?
Mai simplu spus, ele acționează ca intermediari între schimbul de informații sau în aplicații sandbox. Ceea ce fac este să aștepte și să-și „încrucișeze degetele” așteptând să fie folosite. Dacă nu este cazul, ei nu pot face nimic.
În cazul Keychain-ului OS X iCloud, puteți preînregistra sau șterge și reînregistra acreditările. Cu WebSockets, puteți ocupa preventiv un port. Cu identificatorii de pachete, puteți adăuga sub-ținte periculoase la listele de control al accesului aplicațiilor legitime.
Pe iOS, puteți să deturnați doar adresele URL legitime și să faceți phishing.
Ce fel de date sunt expuse riscului?
ICloud Keychain data, Websockets și URL-uri.
Ce s-ar putea face pentru a preveni XARA?
Cel mai bun ar fi un sistem în care aplicațiile vor fi autentificate în siguranță în toate comunicațiile posibile. Aceasta este treaba Apple.
Dacă vedem că ceva a fost șters pe brelocul nostru, putem crede că este un eșec, dar dacă vedem o înregistrare pe care nu am făcut-o, este un simptom că cineva a avut acces la el.
Apple trebuie să actualizeze sistemul, acesta este cel mai important lucru. Și trebuie să o faci cât mai curând posibil.
Este posibil să știu dacă datele mele au fost interceptate?
Pe iOS, trebuie să vedem aplicația falsă cel puțin o clipă înainte de a trece la aplicația legitimă. Dacă căutăm un eșec, am observa, dar dacă nu, ar fi dificil.
De ce a fost publicat XARA?
Anchetatorii au descoperit defectul anul trecut. Aceștia au raportat-o Apple, iar oamenii din Cupertino i-au cerut cel puțin 6 luni pentru a soluționa problema. După 6 luni, cercetătorii l-au făcut public.
Cel mai rău de toate, este o iresponsabilitate care servește doar pentru a se face importanți ca cercetători în domeniul securității. Ceea ce aș face atunci când voi descoperi un astfel de bug este să lucrez cu compania până când nu va fi remediat. Apoi, și numai atunci, ar publica informațiile.
În plus, cercetătorii au recunoscut acest lucru Apple a lucrat la asta de când au raportat problema, deci publicarea existenței acestui defect de securitate nu va ajuta Apple să se grăbească. Acesta va servi doar pentru a se promova și a pune în pericol datele utilizatorilor, deoarece acum orice utilizator rău intenționat poate utiliza informațiile publicate.
Pe de altă parte, Apple a remediat mai multe bug-uri importante în acest timp. Și nu este faptul că XARA nu este periculos, dacă nu că nu este atât de mult ca să-l prioritizăm sau să ne alarmăm pe măsură ce o facem. Un apel la calm.
Deci ce ar trebui sa facem?
XARA este un grup de exploit-uri care trebuie remediate, dar trebuie să fie reparate de Apple. După cum se spune în iMore, care este sursa acestui articol, nu trebuie să intrați în panică, dar orice utilizator al unui Mac, iPhone sau iPad ar trebui să fie informat. Până când Apple nu remediază problema, cel mai bun lucru este ca de obicei: nu descărcați aplicații de origine dubioasă. Și am pus două exemple: dacă descărcăm un nou joc de la un dezvoltator necunoscut din App Store și ne cer să punem parola pentru a accesa brelocul nostru, nu o facem. Și la fel cu utilizatorii care au jailbreak-ul pe dispozitivul dvs., dar și în aceste cazuri este important să folosiți modificările din depozitele oficiale.
Ca întotdeauna, articolele dvs. sunt foarte obiective și interesante, salutări din Mexic!