U oktobru 2014. grupa od šest istraživača uspješno je zaobišla sve Apple-ove sigurnosne mehanizme kako bi postavila aplikaciju na Mac App Store i App Store. U praksi, mogli bi u Apple uređaje ubaciti zlonamjerne aplikacije koje bi mogle dobiti vrlo vrijedne informacije. Prema dogovoru s Appleom, ova činjenica nije trebala biti objavljena oko šest mjeseci, što su istraživači ispoštovali.
S vremena na vrijeme čujemo za sigurnosnu rupu, svaki sistem ih ima, ali ovaj je zaista veliki. Omogućava napadaču da progura aplikaciju kroz obje App Stories koja može ukrasti lozinku za iCloud Keychain, aplikaciju Mail i sve lozinke pohranjene u Google Chrome-u.
[youtube id=”S1tDqSQDngE” width=”620″ visina=”350″]
Ova mana može dozvoliti zlonamjernom softveru da dobije lozinku od gotovo svake aplikacije, bilo da je unaprijed instalirana ili od treće strane. Grupa je uspjela u potpunosti savladati sandboxing i tako je dobila podatke iz najčešće korištenih aplikacija poput Everenotea ili Facebooka. Cijela stvar je opisana u dokumentu "Neovlašteni pristup resursima više aplikacija na MAC OS X i iOS".
Apple nije javno komentirao ovo pitanje i samo je zatražio detaljnije informacije od istraživača. Iako je Google uklonio integraciju privjeska ključeva, to ne rješava problem kao takav. Programeri 1Password-a su potvrdili da ne mogu 100% garantirati sigurnost pohranjenih podataka. Jednom kada napadač uđe u vaš uređaj, to više nije vaš uređaj. Apple mora smisliti popravku na nivou sistema.
Greska je svakako, ali savjet zavisi od osobe koju aplikaciju instalira..
a ako instaliram aplikacije sa ofiko App Store-a, kojima pristupam sa podrazumevanih "bookmarka" iPhone-a, nemam "krekovanog" iOS sistema, ugrozio je/ugrozio i moju sitnicu, ptm. moj iPhone sa iOS 8,3? Po članku imam osjećaj da je... A koje aplikacije da instaliram? Iz "besplatne" opcije.
Poenta je da ove malver aplikacije mogu ući u App Store na službeni način, a korisnik ih onda preuzima misleći da su u redu kada prođu Apple-ovu inspekciju. Zato je bolje ne instalirati aplikacije nepoznatih programera. Barem ja to tako shvatam.
Tacno kako kazes. U svakom slučaju, prilično sam iznenađen, ako je ta informacija tačna, da Apple navodno za to zna više od pola godine i ništa nije uradio po tom pitanju.
Procjenjujem da je Apple vjerovatno dopunio kontrolu u App Storeu nakon što je dobio informaciju, a rizik je minimalan u tom pogledu za iPhone/iPad.
Međutim, to ne mora biti tako zanemarivo kod MAC-a, gdje se aplikacije izvan MacAppStorea instaliraju sasvim normalno.