Специалисты из Индианского университета и Технологического института Джорджии обнаружили уязвимость в операционных системах Apple iOS и OS X, позволяющую злоумышленникам получить доступ ко всем логинам, паролям и другим данным аутентифиации, которые пользователь сохранил в «Связке ключей iCloud». «Связка ключей iCloud» (iCloud Keychain) — функция, появившаяся в iOS 7.0.3 и OS X 10.9 Mavericks и присутствующая во всех последующих версиях мобильной и настольной систем Apple. Она предназначена для хранения логинов и паролей с различных веб-сайтов, данных кредитных карт, информации о сетях Wi-Fi, логинов и паролей приложений Apple (таких, как Mail, «Контакты», «Календарь» и «Сообщения»), а также логинов и паролей сторонних приложений (таких, как Facebook, Evernote и др). Выбрав опцию «запомнить логин и пароль» на одном устройстве, благодаря «Связке ключей» пользователь может воспользоваться автозаполнением формы аутентификации на другом доверенном устройстве. «Мы окончательно взломали связку ключей — предназначенную для хранения паролей и других аутентификационных данных приложений на устройствах Apple — и «песочницы» в OS X. Мы также обнаружили пробел в защите механизма взаимодействия приложений друг с другом на OS X и iOS, который позволяет похищать конфиденциальную информацию из Evernote, Facebook и других приложений», — рассказали исследователи. Однако обнаруженная уязвимость не позволяет вредоносным приложениям получать доступ к данным в «Связка ключей iCloud» напрямую. Для того чтобы похитить логин и пароль, злоумышленник должен создать новую связку паролей и заставить пользователя ввести логин и пароль в поддельную форму аутентификации. Только после этого данные попадут к нему в руки. Исследователями была написана программа для похищения логинов и паролей из сторонних приложений — с целью изучения проблемы. Примечательно, что компания Apple одобрила это приложение и пропустила его как в Apple App Store, так и Mac App Store. По словам авторов находки, они сообщили Apple об уязвимости в октябре 2014 г. Компания попросила дать есть шесть месяцев на ее устранение, но так этого и не сделала. Эксперты, обнаружившие проблему, в конечном счете решили опубликовать информацию о ней.
Источник