Специалисты из Университета Индианы и Технологического института Джорджии опубликовали отчет о ряде 0-day уязвимостей в Apple iOS и OS X. Используя найденные дырки, исследователи сумели получить информацию, хранящуюся в Keychain, взломали «песочницу» и достали конфиденциальные данные из приложений Evernote, Facebook и не только.
Основой всему послужила атака XARA (Cross-App Resource Access), суть которой заключается в том, что крупные приложения могут предоставлять малвари доступ к информации других, легитимных приложений. Анализ 1612 самых популярных приложений для Mac и 200 для приложений iOS выявил, что 88.6% используют уязвимые для XARA-атак ресурсы системы, сообщает xakep.ru.
Одна из обнаруженных исследователями проблем касается Keychain. Данная функция присутствует в iOS 7.0.3 и OS X 10.9 Mavericks и выше. Она предназначена для хранения аутентификационных данных, токенов, ключей, данных о банковских картах, информации о сетях Wi-Fi и так далее.
По сути, каждому приложению принадлежит свой, небольшой кусочек Keychain, доступ к которому, должен быть только у этого приложения. Но исследователи выяснили, что можно создать зловреда, который мимикрирует под атрибуты обычного приложения, обманув Keychain.
Приведу пример. Пользователь скачал условное приложение «A» и создает пароль для него. В Keychain будет произведен поиск соответствующих атрибутов, чтобы понять, куда поместить идентификационные данные, вдруг в системе уже есть такое приложение? Если перед этим пользователь установил приложение-малварь, которое заранее подделало атрибуты приложения «А», система сохранит аутефикационную информацию таким образом, что доступ к ней будут иметь оба приложения – настоящее приложение «А» и малварь, созданная хакерами. И даже если пользователь установит вредоносное приложение после установки легитимного, произойдет то же самое. Более того, существующая в Keychain запись вообще может быть удалена другим неавторизованным приложением.
Исследователи протестировали свою атаку на Keychain на Apple’s Internet Accounts и Google Chrome на OS X 10.10. Им удалось извлечь аутентификационные токены для аккаунтов iCloud и Facebook. Согласно отчету, Apple заблокировала возможность такой атаки на iCloud в 10.10.4, но это не остановит хакеров, которые могут просто удалить из Keychain запись.
Еще одна большая проблема лежит в «песочнице» Mac’ов. Чтобы защитить приложения от влияния из вне, всему софту присваиваются идентификаторы Bundle ID (BID), которые определяют, что может делать то или иное приложение вне своего контейнера, и какие данные ему доступны. Данные идентификаторы должны быть уникальны для каждого приложения, и Apple проверяет на дубликаты все, что добавляют в App Store. Однако Apple не справляется с проверкой подпрограмм в приложениях. Подпрограммы могут использовать тот же BID, что и другое легитимное приложение. Получается, что оба приложения работают в одной «песочнице» и имеют доступ к данным друг друга.
Оператор связи «МегаФон» запустил новый продукт для бизнеса — «МегаНейросети», в рамках которого корпоративные клиенты получили доступ к популярным зарубежным ИИ-моделям. Пользоваться сервисом можно через веб-интерфейс или чат-бот.
Осенью 2025 года аналогичные услуги запустилиМТС, «Билайн» и оператор Yota, присоединённый к «МегаФону».
Помимо прямого доступа к зарубежным ИИ-моделям, включая Gemini, ChatGPT и Claude, сервис предлагает инструменты, упрощающие создание запросов. При этом для подключения к моделям не требуется использовать VPN или прибегать к каким-либо дополнительным способам оплаты и другим обходным решениям.
По оценке ТАСС, такие сервисы оказались весьма востребованными и быстро набирают популярность среди клиентов. На этом фоне «МегаФон» также запустил собственный сервис «МегаНейросети».
«МегаНейросети» ориентированы на корпоративных клиентов. Бесплатная подписка включает доступ к шести зарубежным моделям с ограниченным числом запросов, платная — к 25. Кроме того, пользователям доступны веб-интерфейс и чат-бот для более удобной работы. Среди моделей, с которыми работает сервис, — DeepSeek, Gemini, Qwen, GPT-5.4, Veo 3 и Kling.
Оператор не исключает, что в будущем этот сервис станет доступен и обычным пользователям.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
