Специалисты из Университета Индианы и Технологического института Джорджии опубликовали отчет о ряде 0-day уязвимостей в Apple iOS и OS X. Используя найденные дырки, исследователи сумели получить информацию, хранящуюся в Keychain, взломали «песочницу» и достали конфиденциальные данные из приложений Evernote, Facebook и не только.
Основой всему послужила атака XARA (Cross-App Resource Access), суть которой заключается в том, что крупные приложения могут предоставлять малвари доступ к информации других, легитимных приложений. Анализ 1612 самых популярных приложений для Mac и 200 для приложений iOS выявил, что 88.6% используют уязвимые для XARA-атак ресурсы системы, сообщает xakep.ru.
Одна из обнаруженных исследователями проблем касается Keychain. Данная функция присутствует в iOS 7.0.3 и OS X 10.9 Mavericks и выше. Она предназначена для хранения аутентификационных данных, токенов, ключей, данных о банковских картах, информации о сетях Wi-Fi и так далее.
По сути, каждому приложению принадлежит свой, небольшой кусочек Keychain, доступ к которому, должен быть только у этого приложения. Но исследователи выяснили, что можно создать зловреда, который мимикрирует под атрибуты обычного приложения, обманув Keychain.
Приведу пример. Пользователь скачал условное приложение «A» и создает пароль для него. В Keychain будет произведен поиск соответствующих атрибутов, чтобы понять, куда поместить идентификационные данные, вдруг в системе уже есть такое приложение? Если перед этим пользователь установил приложение-малварь, которое заранее подделало атрибуты приложения «А», система сохранит аутефикационную информацию таким образом, что доступ к ней будут иметь оба приложения – настоящее приложение «А» и малварь, созданная хакерами. И даже если пользователь установит вредоносное приложение после установки легитимного, произойдет то же самое. Более того, существующая в Keychain запись вообще может быть удалена другим неавторизованным приложением.
Исследователи протестировали свою атаку на Keychain на Apple’s Internet Accounts и Google Chrome на OS X 10.10. Им удалось извлечь аутентификационные токены для аккаунтов iCloud и Facebook. Согласно отчету, Apple заблокировала возможность такой атаки на iCloud в 10.10.4, но это не остановит хакеров, которые могут просто удалить из Keychain запись.
Еще одна большая проблема лежит в «песочнице» Mac’ов. Чтобы защитить приложения от влияния из вне, всему софту присваиваются идентификаторы Bundle ID (BID), которые определяют, что может делать то или иное приложение вне своего контейнера, и какие данные ему доступны. Данные идентификаторы должны быть уникальны для каждого приложения, и Apple проверяет на дубликаты все, что добавляют в App Store. Однако Apple не справляется с проверкой подпрограмм в приложениях. Подпрограммы могут использовать тот же BID, что и другое легитимное приложение. Получается, что оба приложения работают в одной «песочнице» и имеют доступ к данным друг друга.
Аэрофлот готовит к запуску систему биометрической идентификации, позволяющую ускорить и удешевить процедуру предполетных проверок пассажиров. В этом месяце сервис «Мигом» с успехом протестировали в аэропорту Пулково.
Возможность использования биометрии вместо паспорта будет предоставляться как опция, которую нужно будет заранее подключить, зайдя на сайт российской авиакомпании.
Подобный способ подтверждения личности можно будет применять при регистрации на рейс, при проходе в зону вылета и на гейтах.
В работах по созданию «Мигом» (доработка сайта, интеграция с ЕСИА и ЕБС) принимала участие дочка Аэрофлота, ИТ-компания «АФЛТ-Системс». Криптозащита сервиса реализована с использованием СКЗИ КриптоПро.
Разработчикам еще предстоит привести услугу в соответствие нормативам различных ведомств. Полноценный запуск ожидается во второй половине 2026 года.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
