Daníel Hruska Í október 2014 fór sex manna hópur vísindamanna framhjá öllum öryggisaðferðum Apple til að setja app á Mac App Store og App Store. Í reynd gætu þeir fengið illgjarn forrit inn í Apple tæki sem myndu geta fengið mjög verðmætar upplýsingar. Samkvæmt samningi við Apple átti þessi staðreynd ekki að birtast í um hálft ár, sem rannsakendur fóru eftir.
Af og til heyrum við um öryggisgat, hvert kerfi hefur þau, en þetta er mjög stórt. Það gerir árásarmanni kleift að ýta forriti í gegnum báðar App Stories sem geta stolið lykilorði iCloud Keychain, Mail appinu og öllum lykilorðum sem geymd eru í Google Chrome.
[youtube id=”S1tDqSQDngE” width=”620″ hæð=”350″]
Gallinn getur gert spilliforritum kleift að fá lykilorð frá nánast hvaða forriti sem er, hvort sem það er foruppsett eða þriðja aðila. Hópnum tókst að sigrast algjörlega á sandkassaleik og fékk þannig gögn frá mest notuðu forritunum eins og Everenote eða Facebook. Öllu máli er lýst í skjalinu „Óheimilur aðgangur að auðlindum í gegnum forrita á MAC OS X og iOS“.
Apple hefur ekki tjáð sig opinberlega um málið og hefur aðeins óskað eftir ítarlegri upplýsingum frá rannsakendum. Þrátt fyrir að Google hafi fjarlægt lyklakippuna leysir það ekki vandamálið sem slíkt. Hönnuðir 1Password hafa staðfest að þeir geta ekki 100% tryggt öryggi geymdra gagna. Þegar árásarmaður kemst inn í tækið þitt er það ekki lengur tækið þitt. Apple verður að koma með lagfæringu á kerfisstigi.
Það eru örugglega mistök, en ráðin fara eftir manneskjunni, hvaða forriti hann setur upp..
og ef ég set upp forrit frá ofiko App Store, sem ég nálgast frá sjálfgefnum "bókamerkjum" á iPhone, er ég ekki með neitt "sprungið" iOS kerfi, það mun / hefur stofnað jafnvel litlu hlutnum mínum í hættu, ptm. iPhone minn með iOS 8,3? Samkvæmt greininni hef ég á tilfinningunni að það sé... Og hvaða forrit set ég upp? Frá "ókeypis" valkostinum.
Málið hér er að þessi spilliforrit geta komist inn í App Store í gegnum opinbera leiðina og notandinn halar þeim síðan niður og heldur að þau séu í lagi þegar þau hafa staðist skoðun Apple. Svo það er betra að setja ekki upp forrit frá óþekktum forriturum. Þannig skil ég þetta allavega.
Nákvæmlega eins og þú segir. Allavega er ég frekar hissa, ef upplýsingarnar eru sannar, að Apple hafi að sögn vitað af þessu í meira en hálft ár og ekkert gert í málinu.
Ég áætla að Apple hafi líklega bætt við eftirlitið í App Store eftir að hafa fengið upplýsingarnar og áhættan í þessu sambandi er lítil fyrir iPhone/iPad.
Hins vegar þarf það ekki að vera svo hverfandi með MAC, þar sem forrit utan MacAppStore eru uppsett nokkuð venjulega.