Уязвимость нулевого дня в iOS и OS X открывает доступ к Связке ключей

Исследователи из Индианского университета и Технологического института Джорджии обнаружили в iOS и OS X уязвимость нулевого дня, позволяющую вредоносным приложениям реквизировать пароли из Связки ключей обеих систем. Находка уже была подтверждена Apple, Google и другими компаниями, связанными с Keychain.

Взломщики гордо заявили:

Мы окончательно вскрыли Связку ключей, которая всегда служила хранилищем паролей и прочей конфиденциальной информации. Под удар также попали контейнеры «песочницы» OS X, обнаружились новые «бреши» в механизмах взаимодействия приложений, открывающие дорогу к похищению данных из Evernote, Facebook и остальных представителей высшего эшелона.

Apple была оповещена об уязвимости нулевого дня, даже завязала диалог с исследователями, попросила связаться с ними, пока эксплойт не станет доступен для широких масс, но дело так и не сдвинулось с мёртвой точки. Тогда разработчики намеренно загрузили в Mac App Store и App Store вредоносное ПО с эксплойтами на борту, на удивление, прошедшее необходимые проверки. Взлом был испробован на огромном количестве приложений для iOS и OS X, 90% которых спокойно предоставляли внутреннюю информацию приложений, включая логины.

AgileBits, разработчики 1Password, команда Google Chromium стоят на ушах, описывая оборону против атак на уровне приложения одним словом — невозможно. Последние и вовсе надумали убрать интеграцию со Связкой ключей для браузера Chrome.

Единственный полезный совет на сегодняшний день довольно примитивен — не устанавливать приложения от неизвестных разработчиков, которые вполне могут затесаться и в «яблочные» магазины. Ну и, конечно же, рекомендуется хранить важнейшие пароли вдали от Интернета. Всё как всегда.