Вчора ми опублікували в Actualidad iPhone що було виявлено серйозну проблему безпеки, яка впливає на пристрої, які використовують операційні системи iOS і OS X. Проблема була охрещена XARA, Несанкціонований доступ до ресурсів між додатками (X, я припускаю, призначений для "перехресного") та націлений на брелок iCloud, що викликає особливе занепокоєння у випадку з OS X.. Apple повинна виправити цю помилку, але панікувати теж не потрібно.
У цій статті ми спробуємо пояснити все про XARA, що він робить, на що це впливає і що ми можемо зробити, щоб зловмисний користувач не отримав доступ до наших брелоків iCloud.
[ОНОВЛЕННЯ 20] Apple розповідає про XARA:
"Раніше цього тижня ми додали оновлення безпеки у вигляді програми на сервері, яка захищає дані програми та блокує програми з проблемами конфігурації пісочниці з магазину Mac App Store". Вони також відповіли на запит, сказавши, що "у нас є більше виправлень, і ми працюємо з дослідниками для вирішення проблеми in situ".
Що таке XARA?
XARA - це назва, що використовується для об’єднання в одному терміні з група експлойтів, які використовують шкідливий додаток, щоб отримати доступ до захищеної інформації через законну програму. Вони роблять це, використовуючи метод "людина посередині", що означає, що вони знаходяться між нами та законним сервером, який використовує фішинг, щоб обдурити нас, щоб ми дали їм свої дані.
Яка мета XARA?
На OS X XARA прагне базу даних iCloud брелок (iCloud Keychain), де ми зберігаємо наших користувачів та паролі; WebSockets, канал зв'язку між програмами та пов'язаний із послугами; та ідентифікатори пакетів, які ідентифікують лише програми пісочниці та можуть використовуватися як цільові контейнери даних.
У iOS XARA націлена на схеми URL-адрес. Крадіжка URL-адреси не є вразливістю операційної системи. Його можна використовувати, якщо для досягнення бажаної функціональності не встановлений офіційний механізм безпеки. Здається, що в iOS несправність не така серйозна, оскільки її вплив набагато обмеженіший.
Як розподіляються подвиги?
Дослідники безпеки створили додатки та завантажили їх у Mac App Store та App Store. У випадку з OS X їх також можна розповсюджувати на іншому веб-сайті, і ми можемо встановити їх, якщо налаштуємо його відповідно до системних налаштувань.
Магазини програм намагаються виявити, чи є зловмисна поведінка. Якщо вони виявляють таку поведінку в App Store, як у випадку з XARA, інформація використовується для майбутніх оглядів, щоб запобігти доступу тих самих експлойтів до App Store у майбутньому. Так App Store не було порушено.
Як працюють ці програми?
Простіше кажучи, вони виступають посередниками між обміном інформацією або в додатках пісочниці. Що вони роблять, це чекають і "схрещують пальці", чекаючи, щоб їх використали. Якщо це не так, вони нічого не можуть зробити.
У випадку з брелоком iCloud OS X ви можете попередньо зареєструвати або видалити та перереєструвати облікові дані. За допомогою WebSockets ви можете попередньо зайняти порт. За допомогою ідентифікаторів пакетів ви можете додавати зловмисні підцілі до списків контролю доступу законних програм.
На iOS ви можете викрадати лише законні URL-адреси та робити фішинг.
Які дані ризикують?
Дані брелока ICloud, веб-розетки та URL-адреси.
Що можна зробити, щоб запобігти XARA?
Найкращою буде система, в якій додатки будуть надійно автентифіковані у всіх можливих комунікаціях. Це робота Apple.
Якщо ми бачимо, що щось було видалено на нашому брелоку, ми можемо думати, що це помилка, але якщо ми бачимо запис, який ми не зробили, це симптом того, що хтось мав до нього доступ.
Apple повинна оновити систему, це найголовніше. І ви повинні зробити це якомога швидше.
Чи можна дізнатися, чи перехоплені мої дані?
На iOS ми повинні бачити фейковий додаток принаймні на мить, перш ніж переходити до законного додатка. Якщо ми шукаємо невдачу, ми помітили б це, а якщо ні, то було б важко.
Чому було опубліковано XARA?
Слідчі виявили ваду минулого року. Вони повідомили про це Apple, і люди з Купертіно просили їх щонайменше 6 місяців вирішити проблему. Через 6 місяців дослідники оприлюднили це.
Найгірше те, що це безвідповідальність, яка лише робить себе важливим як дослідники безпеки. Що б я зробив, виявивши таку помилку, це робота з компанією, доки вона не буде виправлена. Тоді і лише тоді він публікував би інформацію.
Крім того, дослідники визнали це Apple працює над цим з тих пір, як їм повідомили про проблему, тому публікація існування цього недоліку безпеки не допоможе Apple поспішати. Він буде слугувати лише для просування себе та ризику щодо даних користувачів, оскільки тепер будь-який зловмисний користувач може використовувати опубліковану інформацію.
З іншого боку, Apple за цей час виправила ще багато важливих помилок. І справа не в тому, що XARA не небезпечна, якщо не в тому, що не стільки для того, щоб визначити її пріоритетом чи насторожити нас, як ми це робимо. Заклик до заспокоєння.
То що нам робити?
XARA - це група експлойтів, які повинні бути виправлені, але повинні бути виправлені Apple. Як кажуть у iMore, що є джерелом цієї статті, не треба панікувати, але будь-який користувач Mac, iPhone або iPad повинен бути проінформований. Поки Apple не вирішить проблему, найкращим є звичайний бізнес: не завантажуйте програми сумнівного походження. І я наводжу два приклади: якщо ми завантажуємо нову гру від невідомого розробника з App Store і вони просять нас ввести наш пароль для доступу до нашого брелока, ми цього не робимо. І те саме з користувачами, які мають джейлбрейк на вашому пристрої, але в цих випадках також важливо використовувати твіки з офіційних сховищ.
Як завжди, ваші статті дуже об’єктивні та цікаві, привіт з Мексики!