XARA: mọi thứ chúng ta cần biết

Hôm qua chúng tôi đã xuất bản trong Actualidad iPhone rằng một sự cố bảo mật nghiêm trọng đã được phát hiện ảnh hưởng đến các thiết bị sử dụng hệ điều hành iOS và OS X. đã được đặt tên là XARA, Truy cập tài nguyên trên nhiều ứng dụng trái phép (X tôi giả định là cho "chéo") và nhằm vào chuỗi khóa iCloud, đang được quan tâm đặc biệt trong trường hợp của OS X. Apple cần sửa lỗi này, nhưng bạn cũng không cần quá lo lắng.

Trong bài viết này, chúng tôi sẽ cố gắng giải thích mọi thứ về XARA, nó làm gì, ảnh hưởng gì và chúng ta có thể làm gì để ngăn người dùng độc hại truy cập vào móc khóa iCloud của chúng ta.

[CẬP NHẬT 20/6/2015] Apple nói về XARA:

"Đầu tuần này, chúng tôi đã thêm một bản cập nhật bảo mật dưới dạng một ứng dụng trên máy chủ để bảo mật dữ liệu ứng dụng và chặn các ứng dụng có vấn đề về cấu hình hộp cát từ Mac App Store." Họ cũng trả lời một truy vấn nói rằng "Chúng tôi có nhiều bản vá đang được xử lý và chúng tôi đang làm việc với các nhà nghiên cứu để giải quyết vấn đề tại chỗ."

XARA là gì?

XARA là tên được sử dụng để hợp nhất trong cùng một thuật ngữ để một nhóm lợi dụng sử dụng một ứng dụng độc hại để có quyền truy cập vào thông tin an toàn thông qua một ứng dụng hợp pháp. Chúng thực hiện việc này bằng cách sử dụng phương thức "man-in-the-middle", có nghĩa là chúng ở giữa chúng tôi và một máy chủ hợp pháp sử dụng lừa đảo để lừa chúng tôi cung cấp thông tin đăng nhập của chúng tôi.

Mục tiêu của XARA là gì?

Trên OS X, XARA nhằm mục đích cơ sở dữ liệu chuỗi khóa iCloud (iCloud Keychain), nơi chúng tôi lưu trữ người dùng và mật khẩu của mình; WebSockets, một kênh giao tiếp giữa các ứng dụng và liên kết với các dịch vụ; và số nhận dạng gói, chỉ xác định các ứng dụng hộp cát và có thể được sử dụng làm vùng chứa dữ liệu đích.

Trên iOS, XARA nhắm mục tiêu các lược đồ URL. Đánh cắp URL không phải là một lỗ hổng của hệ điều hành. Nó có thể được sử dụng nếu không có cơ chế bảo mật chính thức để đạt được chức năng mong muốn. Có vẻ như trong iOS, lỗi này không quá nghiêm trọng vì khả năng hiển thị của nó bị hạn chế hơn nhiều.

Khai thác được phân phối như thế nào?

Các nhà nghiên cứu bảo mật đã tạo ra các ứng dụng và tải chúng lên Mac App Store và App Store. Trong trường hợp OS X, chúng cũng có thể được phân phối bởi một trang web khác và chúng tôi có thể cài đặt chúng nếu chúng tôi định cấu hình nó từ tùy chọn hệ thống.

Các cửa hàng ứng dụng cố gắng xác định xem có hành vi độc hại hay không. Nếu họ phát hiện hành vi như vậy trong App Store, như trường hợp của XARA, thông tin sẽ được sử dụng cho các đánh giá trong tương lai để ngăn những hành vi khai thác tương tự truy cập vào App Store trong tương lai. Vì thế App Store không bị xâm phạm.

Làm thế nào để các ứng dụng này hoạt động?

Nói một cách đơn giản, chúng đóng vai trò trung gian giữa việc trao đổi thông tin hoặc trong các ứng dụng hộp cát. Những gì họ làm là chờ đợi và "khoanh tay" chờ được sử dụng. Nếu không phải như vậy, họ không thể làm gì được.

Trong trường hợp của Chuỗi khóa iCloud OS X, bạn có thể đăng ký trước hoặc xóa và đăng ký lại thông tin đăng nhập. Với WebSockets, bạn có thể chiếm trước một cổng. Với số nhận dạng gói, bạn có thể thêm các mục tiêu con độc hại vào danh sách kiểm soát truy cập của các ứng dụng hợp pháp.

Trên iOS, bạn chỉ có thể chiếm đoạt các URL hợp pháp và thực hiện hành vi lừa đảo.

Loại dữ liệu nào có rủi ro?

Dữ liệu chuỗi khóa iCloud, Websockets và URL.

Có thể làm gì để ngăn chặn XARA?

Điều tốt nhất sẽ là một hệ thống trong đó các ứng dụng sẽ được xác thực an toàn trong tất cả các giao tiếp có thể. Đó là công việc của Apple.

Nếu chúng ta thấy một cái gì đó đã bị xóa trên chuỗi khóa của mình, chúng ta có thể nghĩ rằng đó là lỗi, nhưng nếu chúng ta thấy một bản ghi mà chúng ta chưa lập thì đó là dấu hiệu cho thấy ai đó đã truy cập vào nó.

Apple phải cập nhật hệ thống, đó là điều quan trọng nhất. Và bạn phải làm điều đó càng sớm càng tốt.

Có thể biết liệu dữ liệu của tôi đã bị chặn hay chưa?

Trên iOS, chúng ta phải nhìn thấy ứng dụng giả mạo trong ít nhất một khoảnh khắc trước khi chuyển sang ứng dụng hợp pháp. Nếu chúng tôi đang tìm kiếm một thất bại, chúng tôi sẽ nhận thấy, nhưng nếu không, nó sẽ rất khó khăn.

Tại sao XARA được xuất bản?

Các nhà điều tra đã phát hiện ra lỗ hổng này vào năm ngoái. Họ đã báo cáo nó với Apple và người dân Cupertino đã yêu cầu họ ít nhất 6 tháng để giải quyết vấn đề. Sau 6 tháng, các nhà nghiên cứu đã công khai nó.

Tệ nhất, đó là một sự vô trách nhiệm chỉ đóng vai trò là các nhà nghiên cứu bảo mật khiến bản thân họ trở nên quan trọng. Những gì tôi sẽ làm khi phát hiện ra một lỗi như vậy là làm việc với công ty cho đến khi nó được sửa. Sau đó, và chỉ khi đó, anh ta mới công bố thông tin.

Ngoài ra, các nhà nghiên cứu đã nhận ra rằng Apple đã bắt tay vào giải quyết vấn đề này kể từ khi họ được thông báo về vấn đềVì vậy, việc công bố sự tồn tại của lỗ hổng bảo mật này sẽ không giúp Apple vội vàng. Nó sẽ chỉ phục vụ cho việc quảng bá bản thân và khiến dữ liệu người dùng gặp rủi ro, vì bây giờ bất kỳ người dùng độc hại nào cũng có thể sử dụng thông tin đã xuất bản.

Mặt khác, Apple đã sửa nhiều lỗi quan trọng hơn trong thời gian này. Và nó không phải là XARA không nguy hiểm, nếu không phải là nó không quá ưu tiên nó hoặc để cảnh báo chúng tôi như chúng tôi đang làm nó. Một lời kêu gọi bình tĩnh.

Vậy chúng ta nên làm gì?

XARA là một nhóm khai thác phải được sửa chữa, nhưng phải được sửa chữa bởi Apple. Như họ nói trong iMore, là nguồn của bài viết này, bạn không cần phải hoảng sợ, nhưng bất kỳ người dùng Mac, iPhone hoặc iPad nào cũng phải được thông báo. Cho đến khi Apple khắc phục được sự cố, cách tốt nhất là hoạt động kinh doanh như bình thường: không tải xuống các ứng dụng có nguồn gốc không rõ ràng. Và tôi đưa ra hai ví dụ: nếu chúng tôi tải xuống một trò chơi mới từ một nhà phát triển không xác định từ App Store và họ yêu cầu chúng tôi đặt mật khẩu để truy cập chuỗi khóa của chúng tôi, chúng tôi sẽ không làm điều đó. Và điều tương tự với những người dùng đã bẻ khóa trên thiết bị của bạn, nhưng trong những trường hợp này cũng điều quan trọng là sử dụng các chỉnh sửa từ kho lưu trữ chính thức.