Daniel Hruska L'octubre de 2014, un grup de sis investigadors va evitar amb èxit tots els mecanismes de seguretat d'Apple per col·locar una aplicació a la Mac App Store i l'App Store. A la pràctica, podrien introduir aplicacions malicioses als dispositius Apple que podrien obtenir informació molt valuosa. Segons un acord amb Apple, aquest fet no s'havia de publicar durant uns sis mesos, cosa que els investigadors van complir.
De tant en tant sentim parlar d'un forat de seguretat, tots els sistemes en tenen, però aquest és molt gran. Permet a un atacant empènyer una aplicació a través de les històries d'aplicacions que poden robar la contrasenya de l'iCloud Keychain, l'aplicació Mail i totes les contrasenyes emmagatzemades a Google Chrome.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
El defecte pot permetre que el programari maliciós obtingui una contrasenya de pràcticament qualsevol aplicació, ja sigui preinstal·lada o de tercers. El grup va aconseguir superar completament el sandboxing i així va obtenir dades de les aplicacions més utilitzades com Everenote o Facebook. Tot el tema es descriu al document "Accés no autoritzat a recursos entre aplicacions a MAC OS X i iOS".
Apple no ha comentat públicament l'assumpte i només ha sol·licitat informació més detallada als investigadors. Tot i que Google va eliminar la integració del clauer, no resol el problema com a tal. Els desenvolupadors d'1Password han confirmat que no poden garantir al 100% la seguretat de les dades emmagatzemades. Quan un atacant entri al teu dispositiu, ja no és el teu dispositiu. Apple ha de trobar una solució a nivell de sistema.
Sens dubte és un error, però el consell depèn de la persona, quina aplicació instal·la...
i si instal·lo aplicacions de l'ofiko App Store, a la qual accedeixo des dels "adreces d'interès" per defecte de l'iPhone, no tinc cap sistema iOS "craquejat", posarà/ha posat en perill fins i tot la meva petita cosa, ptm. el meu iPhone amb iOS 8,3? Segons l'article, tinc la sensació que ho és... I quines aplicacions instal·lo? Des de l'opció "gratuïta".
La qüestió aquí és que aquestes aplicacions de programari maliciós poden entrar a l'App Store per la via oficial i, a continuació, l'usuari les descarrega pensant que estan bé quan hagin passat la inspecció d'Apple. Per tant, és millor no instal·lar aplicacions de desenvolupadors desconeguts. Almenys així ho entenc jo.
Exactament com dius. En qualsevol cas, em sorprèn bastant, si la informació és certa, que Apple se n'hagi assabentat des de fa més de mig any i no hi hagi fet res.
Calculo que probablement Apple va complementar el control a l'App Store després de rebre la informació, i el risc en aquest sentit és mínim per a l'iPhone/iPad.
Tanmateix, no ha de ser tan insignificant amb MAC, on les aplicacions fora de la MacAppStore s'instal·len amb força normalitat.