Kineski sigurnosni stručnjaci sa univerziteta u Pekingu, Indiani i Georgiji otkrili da je Keychain servis za upravljanje lozinkama ranjiv na određene napade čiji je cilj krađa lozinki. Stručnjaci su propust nazvali "Xara" i opisali su ga kao iznenađujući, s obzirom na to da se nalazi na Appleovoj platformi.

Problem omogućuje uploadanje zlonamjernog softvera na Appleov App Store uz zaobilaženje provjere zaražene aplikacije i nakon toga, krađu lozinki za iCloud i Mail accounte, kao i krađu lozinki pohranjenih od strane Google Chromea.

"Potpuno smo crackovali keychain servis (...) i također identifikovali nove slabosti u mehanizmu za međusobnu komunikaciju aplikacija u OS X-u i iOS-u koje mogu biti iskorištene za krađu povjerljivih podataka sa Evernota, Facebooka i drugih visokoprofilnih aplikacija." – vele stručnjaci.

Apple je od njih tražio da odgode objavljivanje informacija o propustu šest mjeseci, ali nakon što su poslušali kompaniju, ona im se više nije javila. U prevodu, propust je još uvijek nepokrpljen. Tim je otkrio da je pomoću svega ovoga moguće ukrasti privatne bankovne podatke mete.

Izvještaj možete pročitati ovdje.

1/1