Daniel Hruska Ekim 2014'te altı araştırmacıdan oluşan bir grup, Mac App Store ve App Store'a bir uygulama yerleştirmek için Apple'ın tüm güvenlik mekanizmalarını başarıyla aştı. Uygulamada, çok değerli bilgileri elde edebilecek kötü amaçlı uygulamaları Apple cihazlarına bulaştırabilirler. Apple ile yapılan anlaşmaya göre bu gerçek yaklaşık altı ay boyunca yayınlanmayacaktı ve araştırmacılar da buna uydu.
Arada bir güvenlik açıkları duyuyoruz, her sistemde var ama bu gerçekten çok büyük. Bu, bir saldırganın bir uygulamayı hem iCloud Anahtar Zinciri şifresini, Mail uygulamasını hem de Google Chrome'da saklanan tüm şifreleri çalabilecek Uygulama Hikayeleri aracılığıyla göndermesine olanak tanır.
[youtube id=”S1tDqSQDngE” width=”620″ height=”350″]
Bu kusur, kötü amaçlı yazılımların ister önceden yüklenmiş olsun ister üçüncü taraf olsun hemen hemen her uygulamadan şifre almasına olanak tanıyabilir. Grup, sandboxing'in tamamen üstesinden gelmeyi başardı ve bu sayede Everenote veya Facebook gibi en çok kullanılan uygulamalardan veri elde etti. Konunun tamamı belgede anlatılıyor "MAC OS X ve iOS'ta Yetkisiz Uygulamalar Arası Kaynak Erişimi".
Apple konuyla ilgili kamuya açık bir yorumda bulunmadı ve araştırmacılardan yalnızca daha ayrıntılı bilgi talep etti. Google, anahtarlık entegrasyonunu kaldırsa da sorunu bu şekilde çözmüyor. 1Password geliştiricileri, saklanan verilerin güvenliğini %100 garanti edemeyeceklerini doğruladılar. Bir saldırgan cihazınıza girdiğinde artık cihazınız değildir. Apple'ın sistem düzeyinde bir düzeltme bulması gerekiyor.
Kesinlikle bir hatadır, ancak tavsiye kişiye, hangi uygulamayı yüklediğine bağlıdır..
ve iPhone'un varsayılan "yer imlerinden" eriştiğim ofiko App Store'dan uygulamalar yüklersem, "kırılmış" bir iOS sistemim yok, bu benim küçük şeyim olan ptm'yi bile tehlikeye atacak / tehlikeye atmıştır. iPhone'um iOS 8,3'lü mü? Makaleye göre öyle bir his var ki... Peki hangi uygulamaları yüklemeliyim? "Ücretsiz" seçeneğinden.
Burada amaç, bu kötü amaçlı yazılım uygulamalarının App Store'a resmi yoldan girebilmesi ve kullanıcının, Apple'ın denetimini geçtikten sonra sorun olmadığını düşünerek bunları indirmesidir. Bu nedenle, bilinmeyen geliştiricilerin uygulamalarını yüklememek daha iyidir. En azından ben böyle anlıyorum.
Aynen dediğin gibi. Her neyse, eğer bilgi doğruysa, Apple'ın bu konuyu altı aydan fazla bir süredir bildiği ve bu konuda hiçbir şey yapmadığı iddiasına oldukça şaşırdım.
Apple'ın muhtemelen bilgiyi aldıktan sonra App Store'daki kontrole takviye yaptığını ve bu konudaki riskin iPhone/iPad için minimum düzeyde olduğunu tahmin ediyorum.
Ancak, MacAppStore dışındaki uygulamaların oldukça normal bir şekilde yüklendiği MAC'de bunun bu kadar ihmal edilebilir olması gerekmez.