XARA: lahat ng kailangan nating malaman

Pablo Aparicio

6 Minutos

Impormasyong seguridad

Kahapon ay nai-publish namin sa Actualidad iPhone na may nakitang malubhang problema sa seguridad na nakakaapekto sa mga device na gumagamit ng iOS at OS X operating system. Ang problema ay nabinyagan XARA, Hindi Pinahintulutang Pag-access ng Resource ng Cross-app (ang X na ipinapalagay ko ay para sa "cross") at naglalayon sa keychain ng iCloud, na may partikular na pag-aalala sa kaso ng OS X. Kailangang ayusin ng Apple ang bug na ito, ngunit hindi mo rin kailangang mag-panic.

Sa artikulong ito susubukan naming ipaliwanag lahat tungkol kay XARA, kung ano ang ginagawa nito, kung ano ang nakakaapekto at kung ano ang maaari nating gawin upang maiwasan ang isang nakakahamak na gumagamit na mag-access sa aming mga keychain sa iCloud.

[UPDATE 20/6/2015] Pinag-uusapan ng Apple ang tungkol sa XARA:

"Mas maaga sa linggong ito nagdagdag kami ng isang pag-update sa seguridad sa anyo ng isang application sa server na nagsisiguro ng data ng application at hinaharangan ang mga application na may mga problema sa pagsasaayos ng sandbox mula sa Mac App Store." Tumugon din sila sa isang query na nagsasabing "Mayroon kaming maraming mga patch na isinasagawa at nakikipagtulungan kami sa mga mananaliksik upang matugunan ang problema sa lugar."

Ano ang XARA?

XARA ang tawag sa pangalan upang magkaisa sa parehong term na to isang pangkat ng mga pagsasamantala na gumagamit ng isang nakakahamak na application upang makakuha ng pag-access sa ligtas na impormasyon sa pamamagitan ng isang lehitimong aplikasyon. Ginagawa nila ito sa pamamagitan ng paggamit ng "man-in-the-middle" na pamamaraan, na nangangahulugang nasa pagitan namin sila at isang lehitimong server na gumagamit ng phishing upang linlangin kami sa pagbibigay sa kanila ng aming mga kredensyal.

Ano ang layunin ng XARA?

Sa OS X, nilalayon ni XARA na ang database ng keychain ng iCloud (iCloud Keychain), kung saan namin iniimbak ang aming mga gumagamit at password; WebSockets, isang channel ng komunikasyon sa pagitan ng mga application at nauugnay sa mga serbisyo; at mga identifier ng package, na kinikilala lamang ang mga application ng sandbox at maaaring magamit bilang mga lalagyan ng target na data.

Sa iOS, tina-target ng XARA ang mga scheme ng URL. Ang pagnanakaw ng URL ay hindi isang kahinaan ng operating system. Maaari itong magamit kung ang isang opisyal na mekanismo ng seguridad ay wala sa lugar upang makamit ang nais na pagpapaandar. Tila na sa iOS ang kabiguan ay hindi gaanong seryoso dahil ang pagkakalantad nito ay mas limitado.

Paano ibinahagi ang mga pagsasamantala?

Gumawa ng mga application ang mga mananaliksik sa seguridad at na-upload ang mga ito sa Mac App Store at App Store. Sa kaso ng OS X maaari rin silang ipamahagi ng ibang website at maaari naming mai-install ang mga ito kung mai-configure namin ito mula sa mga kagustuhan ng system.

Sinusubukang kilalanin ng mga store ng app kung mayroong nakakahamak na pag-uugali. Kung nakita nila ang gayong pag-uugali sa App Store, tulad ng kaso sa XARA, ginagamit ang impormasyon para sa mga pagsusuri sa hinaharap upang maiwasan ang parehong pagsasamantala mula sa pag-access sa App Store sa hinaharap. Kaya ang App Store ay hindi nakompromiso.

Paano gumagana ang mga application na ito?

Sa simpleng salita, kumikilos sila bilang mga tagapamagitan sa pagitan ng pagpapalitan ng impormasyon o sa mga application ng sandbox. Ang ginagawa nila ay maghintay at "tawirin ang kanilang mga daliri" na naghihintay na magamit. Kung hindi ito ang kadahilanan, wala silang magagawa.

Sa kaso ng OS X iCloud Keychain, maaari kang paunang magparehistro o magtanggal at muling magparehistro ng mga kredensyal. Sa WebSockets, maaari mong pre-emptively sakupin ang isang port. Sa mga tagakilala sa package, maaari kang magdagdag ng mga nakakahamak na subtarget sa mga listahan ng kontrol sa pag-access ng mga lehitimong aplikasyon.

Sa iOS, maaari mo lamang i-hijack ang mga lehitimong URL at gawin ang phishing.

Anong uri ng data ang nasa peligro?

Data ng keychain ng ICloud, Websockets, at mga URL.

Ano ang maaaring gawin upang maiwasan ang XARA?

Ang pinakamahusay ay magiging isang sistema kung saan ang mga aplikasyon ay ligtas na mapatunayan sa lahat ng posibleng mga komunikasyon. Trabaho iyon ni Apple.

Kung nakita namin na may isang bagay na tinanggal sa aming keychain, maaari naming isipin na ito ay isang pagkabigo, ngunit kung makakita kami ng isang talaan na hindi namin nagawa ito ay isang sintomas na may isang tao na na-access dito.

Kailangang i-update ng Apple ang system, iyon ang pinakamahalagang bagay. At kailangan mong gawin ito sa lalong madaling panahon.

Posible bang malaman kung ang aking data ay naharang?

Sa iOS, dapat nating makita ang pekeng app nang kahit isang instant lang bago lumipat sa lehitimong app. Kung naghahanap tayo ng isang pagkabigo, mapapansin natin, ngunit kung hindi, ito ay magiging mahirap.

Bakit nai-publish ang XARA?

Natuklasan ng mga investigator ang kamalian noong nakaraang taon. Iniulat nila ito sa Apple at tinanong sila ng mga taong Cupertino ng hindi bababa sa 6 na buwan upang matugunan ang problema. Pagkatapos ng 6 na buwan, ginawang pampubliko ito ng mga mananaliksik.

Pinakamalala sa lahat, hindi responsable na nagsisilbi lamang upang gawing mahalaga ang kanilang sarili bilang mga mananaliksik sa seguridad. Ang gagawin ko kapag natuklasan ang naturang bug ay gumagana sa kumpanya hanggang sa maayos ito. Pagkatapos, at pagkatapos lamang, mai-publish ang impormasyon.

Bilang karagdagan, kinikilala iyon ng mga mananaliksik Ginagawa ito ng Apple mula nang masabihan sila tungkol sa problema, kaya't ang pag-publish ng pagkakaroon ng kapintasan sa seguridad na ito ay hindi makakatulong sa pagmamadali ng Apple. Maghahatid lamang ito upang itaguyod ang kanyang sarili at ilagay sa peligro ang data ng gumagamit, dahil ngayon ang sinumang nakakahamak na gumagamit ay maaaring gumamit ng nai-publish na impormasyon.

Sa kabilang banda, naayos ng Apple ang mas maraming mahahalagang mga bug sa oras na ito. At hindi ang XARA ay hindi mapanganib, kung hindi na hindi ito higit na unahin ito o i-alarma tayo habang ginagawa natin ito. Isang tawag na kumalma.

So anong dapat nating gawin?

Ang XARA ay isang pangkat ng mga pagsasamantala na dapat ayusin, ngunit dapat ayusin ng Apple. Tulad ng sinabi nila sa iMore, na kung saan ay ang mapagkukunan ng artikulong ito, hindi mo kailangang magpapanic, ngunit ang sinumang gumagamit ng isang Mac, iPhone o iPad ay dapat na ipagbigay-alam. Hanggang sa ayusin ng Apple ang problema, ang pinakamaganda ay ang negosyo tulad ng dati: huwag mag-download ng mga application na kahina-hinala na pinagmulan. At naglalagay ako ng dalawang halimbawa: kung mag-download kami ng isang bagong laro mula sa isang hindi kilalang developer mula sa App Store at hinihiling nila sa amin na ilagay ang aming password upang ma-access ang aming keychain, hindi namin ito ginagawa. At pareho sa mga gumagamit na mayroong jailbreak sa iyong aparato, ngunit sa mga kasong ito din mahalagang gamitin ang mga pag-aayos mula sa opisyal na mga repository.


Interesado ka sa:
Ayon sa Apple, ito ang pinakamabisang kumpanya sa mundo na may seguridad
Sundan kami sa Google News

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: AB Internet Networks 2008 SL
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   Si Manuel Gonzalez dijo
    nakararaan 9 taon

    Tulad ng nakasanayan, ang iyong mga artikulo ay napaka-layunin at kawili-wili, pagbati mula sa Mexico!

    Tumugon kay Manuel González