昨天我們發表在 Actualidad iPhone 已偵測到嚴重的安全性問題,該問題影響使用 iOS 和 OS X 作業系統的裝置。 它被命名為XARA、未經授權的跨應用程式資源存取(我認為 X 代表「交叉」)以及 它針對的是 iCloud Keychain,其中 OS X 的情況尤其令人擔憂。 蘋果需要修復這個bug,但也不用驚慌。
在這篇文章中我們將嘗試解釋 與XARA相關的一切、它的作用、影響以及我們可以採取哪些措施來防止惡意使用者存取我們的 iCloud 鑰匙圈。
[更新 20/6/2015] Apple 談 XARA:
“本週早些時候,我們添加了伺服器端應用程式安全更新,可保護應用程式資料並阻止 Mac App Store 中出現沙盒問題的應用程式。” 他們還回答了一個問題,稱“我們正在開發更多補丁,並正在與研究人員合作,當場解決這個問題。”
什麼是XARA?
XARA 是用於統一同一術語的名稱 一組利用惡意應用程式透過合法應用程式取得安全資訊的漏洞。 他們使用「中間人」方法來做到這一點,這意味著他們使用網路釣魚將自己置於我們和合法伺服器之間,以欺騙我們向他們提供憑證。
XARA的目標是什麼?
在作業系統上 iCloud 鑰匙圈資料庫 (iCloud 鑰匙圈),我們儲存使用者和密碼的地方; WebSockets,應用程式和相關服務之間的通訊通道; 包標識符,僅標識沙盒應用程序,可作為目標資料容器。
在 iOS 上,XARA 針對 URL 方案。 URL 竊盜不是作業系統漏洞。 如果沒有官方安全機制來實現所需的功能,則可以使用它。 看來iOS上的失敗並沒有那麼嚴重,因為它的暴露程度有限得多。
漏洞利用是如何分散的?
安全研究人員創建了應用程式並將其上傳到 Mac App Store 和 App Store。 就作業系統而言
應用程式商店嘗試識別是否有惡意行為。 如果他們在 App Store 中偵測到此類行為(就像 XARA 的情況一樣),則該資訊將用於將來的審查,以防止將來同樣的漏洞存取 App Store。 所以 App Store 並沒有受到損害.
這些應用程式如何運作?
簡而言之,它們充當資訊交換或沙箱應用程式之間的中介。 他們所做的就是等待並「交叉手指」等待被使用。 如果不是這樣,他們就無能為力。
對於 OS X iCloud 鑰匙串,您可以預先註冊或刪除並重新註冊憑證。 使用WebSockets,您可以搶佔連接埠。 使用封包標識符,您可以將惡意子目標新增至合法應用程式的存取控制清單。
在 iOS 上,您只能劫持合法 URL 並使用網路釣魚。
什麼類型的資料面臨風險?
iCloud 鑰匙圈資料、Websockets 和 URL。
可以採取什麼措施來預防 XARA?
最好的系統是在所有可能的通訊中對應用程式進行安全身份驗證的系統。 那是蘋果的工作。
如果我們看到鑰匙圈中的某些內容被刪除,我們可能會認為這是一個失敗,但如果我們看到我們尚未建立的記錄,則表示有人有權存取它。
蘋果必須更新系統,這是最重要的。 而且你必須盡快去做。
是否可以知道我的資料是否被攔截?
在 iOS 上,我們必須先查看假冒應用程式至少一會兒,然後才能轉向合法應用程式。 如果我們正在尋找錯誤,我們會注意到,但如果沒有,那就很難了。
為什麼要發表 XARA?
研究人員去年發現了這個缺陷。 他們通知了蘋果公司,庫比蒂諾的相關人員要求他們至少用 6 個月的時間來解決這個問題。 6個月後,研究人員將其公開。
最糟糕的是,僅僅強調自己作為安全研究人員的重要性是不負責任的。 當發現這種類型的錯誤時,我會做的就是與公司合作,直到問題解決為止。 然後,也只有到那時,我才會發布這些資訊。
此外,研究人員已經認識到 自從向他們報告問題以來,蘋果一直在努力解決這個問題。,因此發布這個安全漏洞的存在並不會讓蘋果抓緊時間。 它只會起到宣傳自己的作用,並使用戶資料面臨風險,因為現在任何惡意使用者都可以使用已發布的資訊。
另一方面,蘋果在這段時間修復了許多更重要的錯誤。 這並不是說 XARA 不危險,而是它還沒有危險到足以優先考慮它或讓我們像我們正在做的那樣感到震驚。 呼籲冷靜。
那我們該做什麼呢?
XARA 是一組必須修復的漏洞,但它們必須由 Apple 修復。 正如他們所說 iMore,這是本文的來源, 你不必驚慌,但任何 Mac、iPhone 或 iPad 用戶都應該被告知。 在蘋果解決問題之前,一切照舊是最好的: 不要下載來源可疑的應用程式。 我舉兩個例子:如果我們從 App Store 下載一個未知開發商的新遊戲,它要求我們輸入密碼來存取我們的鑰匙串,我們不會這樣做。 設備上已越獄的用戶也是如此,但在這些情況下 使用官方儲存庫中的調整非常重要.
一如既往,你的文章非常客觀有趣,來自墨西哥的問候!