Los investigadores de seguridad han encontrado una manera de romper llavero de Apple que permite robar contraseñas de cualquier aplicación instalada incluyendo el nativo de la aplicación de correo sin ser detectados, informa The Register.
De la Universidad de Indiana Luyi Xing, Xiaolong Bai, Xiaofeng Wang y Chen Kai, se unieron Tongxin Li, de la Universidad de Pekín y Xiaojing Liao del Instituto de Tecnología de Georgia para publicar el documento no autorizado Cruz-App Recursos Access en MAC OS X y iOS.
"Recientemente hemos descubierto un conjunto de vulnerabilidades sorprendente de seguridad en Mac OS y iOS de Apple que permite a una aplicación maliciosa para obtener acceso no autorizado a los datos confidenciales de otras aplicaciones, como contraseñas y tokens para iCloud, aplicación de correo y todas las contraseñas web almacenadas por Google Chrome, "Xing dijo a The Register. "Nuestras aplicaciones maliciosas fueron exitosamente a través de proceso de selección de Apple y se publicó en Mac App Store de Apple y iOS App Store."
"Hemos descifrado por completo el servicio de llavero - se utiliza para almacenar contraseñas y otras credenciales para diferentes aplicaciones de Apple - y contenedores sandbox en OS X, y también identificaron nuevas debilidades dentro de los mecanismos de comunicación entre las aplicaciones de OS X y iOS que se pueden utilizar para robar datos confidenciales de Evernote, Facebook y otras aplicaciones de alto perfil ".
Los fallos de seguridad todavía están presentes en el sistema operativo de Apple hoy en día a pesar de ser presentado a Apple en octubre de 2014. Acerca de 88,6% de 1612 Mac y 200 aplicaciones iOS probados resultaron ser "completamente expuesto" a este ataque.
Cabe destacar que Apple no haya emitido una solución sin embargo, debido a la complejidad de resolverlo. De Apple pidió a los investigadores que les conceda una extensión de seis meses antes de revelar la vulnerabilidad y en febrero les pidió ver una copia anticipada del trabajo de investigación antes de que se hizo pública.
Cuando notificado del fallo, el equipo de seguridad de Google eliminó la integración Llavero de su navegador Chrome y señaló que es probable que no podía resolverse a nivel de aplicación. AgileBits, que hace 1Password, dijo que no podía encontrar la manera de evitar el ataque o hacer el malware "trabajar más duro" unos cuatro meses después de su divulgación.
"Tenga en cuenta que no sólo nuestro código de ataque eludir la protección a nivel de sistema operativo, pero también puede llegar a través del proceso de investigación de antecedentes aplicación restrictiva de las tiendas de Apple, derrotando por completo su defensa multicapa", dijeron los investigadores.
Aún tenemos que escuchar una declaración de Apple sobre el asunto, pero espero que la empresa puede abordar la cuestión en una actualización de software en el futuro.
No hay comentarios:
Publicar un comentario