imagazin arrow2-left arrow2-right arrow2-top arrow-up arrow-down arrow-left arrow-right cart close dossiers education fb instagram menu notification oander rss rss-footer search service shuffle speech-bubble star store stores tests twitter youtube

A jövő megérkezett!

Az Apple bemutatta az iPhone X-et

Ez a cikk több mint egy éve nem frissült. Kérjük, vedd figyelembe, hogy ennek tükrében a tartalom mára már idejétmúlt lehet.

XARA: biztonsági rés az appok közötti kommunikációban


Az Indiana University és a Georgia Institute of Technology néhány kutatója azt állítja, hogy biztonsági réseket fedeztek fel az iOS és az OS X appok közötti kommunikációs mechanizmusaiban. Ezek ahhoz vezethetnek, hogy kártékony alkalmazások érzékeny adatokhoz juthatnak.

Az Unauthorized cross-app resource access on Mac OS X and iOS (Jogosulatlan hozzáférés az alkalmazások közötti erőforrásokhoz OS X és iOS alatt) című tanulmányban bemutatott biztonsági rések a Keychaint, a Bundle ID-ket, a HTML 5 WebSocketeket és az iOS URL-sémákat érintik. A kommunikációs folyamatba köztes, harmadik szereplőként belépve egy app két alkalmazás közötti adatcserét „hallgathat le.”

A XARA tehát több rés együttes elnevezését jelenti. Na de mit is támadhatnak így pontosan? Az OS X alatt például a jelszavak Keychainbe, vagy egyéb jelszókezelő alkalmazásba való mentése lehet egy potenciális célpont. A Keychain adatbázisát természetesen nem sikerült feltörni, a benne tárolt adatainkat és jelszavainkat továbbra is védi az erős titkosítás. Kártékony alkalmazás telepítése esetén azonban az újonnan mentett jelszavakat illetéktelen felek is megszerezhetik.

Ennek bemutatására a kutatók egy videót is készítettek. A tanulmányban azt írják, hogy képesek korábbi Keychain bejegyzéseket törölni, és így már egyszer elmentett jelszavakhoz hozzájutni, amikor azt újra megadja a felhasználó. A videóban azonban csak egy üres Keychaint láthatunk, a Facebook-jelszó első megadásával, Chorme böngészőben. A videóban látható alkalmazást sajnos nem sikerült megtalálnunk és letöltenünk, így nem tudtuk ellenőrizni, melyik állítás igaz, illetve hogy a hiba működik-e a gyári Safari böngészőben is – erről nem is ír a tanulmány.

Ha valaki felkapta a fejét arra, hogy az iOS URL-sémákat célzó támadások nem újak, akkor teljesen igaza van: éppen ezért a fejlesztők számára nem ajánlott ez a módszer szenzitív adatok továbbítására, sajnos azonban a legnagyobbaknál is megfigyelhetjük ezt a gyakorlatot. Ha technikai szempontból nézzük tehát, ez nem az operációs rendszerben található rés, hanem rossz fejlesztő gyakorlat. Azért használják, mert nincs hivatalos biztonságos mechanizmus erre a funkcionalitásra.

A WebSocketek sérülékenysége technikailag egy HTML 5 hiba, ami elméletileg minden operációs rendszert érinthet, így többek között az OS X-et, az iOS-t és a Windowst is. A tanulmányban a rés OS X alatti kihasználására mutatnak példát, iOS-re azonban nem. Összességében is elmondhatjuk, hogy a XARA exploitok inkább az Apple asztali operációs rendszerét érinthetik.

Hogyan válhatunk a támadások áldozatává? Először is le kell töltenünk és telepítenünk kell egy kártékony alkalmazást. Az alkalmazások közötti kommunikációba tehát csak egy másik app léphet be harmadik félként a XARA expolitokat kihasználva, egy weboldal betöltése nem jelenthet veszélyt. Ez OS X-re és iOS-re is igaz – ez utóbbinál azonban sokkal feltűnőbb, ha az URL-sémát egy köztes alkalmazás próbálja megszerezni, ugyanis legalább egy pillanatra látható módon el kell indulnia a kártékony appnak is, mielőtt megnyílik az URL-sémával megcélzott eredeti alkalmazás.

Hogyan védekezhetünk a támadások ellen? Mint mindig, ne töltsünk le nem ismert, vagy nem megbízható fejlesztőtől vagy forrásból alkalmazást. (A tanulmányt jegyző szakemberek egyébként azt állítják, hogy sikeresen feltöltöttek az App Store-ba több, a hibát kihasználó alkalmazást is. Erre azonban nem hoznak bizonyítékot, a lábjegyzetben hivatkozott app pedig csak a GitHubon érhető el, az App Store-ban nem, ráadásul ennek első verziója 4 éves.) Ha egy már elmentett jelszavunkat újra megkérdezi a Keychain, vagy újra be kell ütnünk, fogjunk gyanút, és ha biztosra akarunk menni, ebben az esetben adjuk meg közvetlenül a Keychainben kézzel a jelszót. iOS-en, ha egy alkalmazásból egy másikba akarunk átadni valamilyen adatot vagy jelszót, és közben elindul egy harmadik app, zárjuk be, töröljük, és azonnal változtassuk meg az adott jelszót.

Miért hozták nyilvánosságra a XARA hibákat a kutatók, és miért nem javította még ezeket az Apple? A kutatók azt állítják, hogy 6 hónapja szóltak az Apple-nek a résekről, akik 6 hónapos határidőt kértek a javításra. Mivel ez letelt, és a hibákat nem javították, nyilvánosságra hozták a dolgot. Abban kicsit sántít az állításuk, hogy az Apple a kutatók szerint is próbálta befoltozni a réseket – meg is találták ennek a nyomait az újabb operációs rendszer-verziókban –, majd a javításokat aztán sikerült ismét megkerülniük. Így nem tűnik annyira etikusnak az, hogy az eredeti hibák javítása után nem egyeztettek ismét a céggel.

Figyelembe kell venni azt is, hogy időközben számtalan más rést javított a kaliforniai cég, olyanokat is, melyeket külön alkalmazás telepítése nélkül is kihasználhattak volna a rosszindulatú felek – nem jogos azt állítani tehát, hogy az Apple nem foglalkozik a biztonsági résekkel. Természetesen ez nem befolyásolja azt, hogy a XARA-réseket is minél előbb javítaniuk kéne, hiszen potenciális adatlopáshoz vezethet a kihasználásuk. A kutatók az OS X 10.11 El Capitan alatt nem tesztelték egyébként a hibákat, így nem tudni, hogy a következő OS X is sebezhető-e.

A biztonsági résekkel kapcsolatban egyelőre nem nyilatkozott hivatalosan az Apple, így csak a kutatók állításaira hagyatkozhatunk a témában. Addig is figyeljünk arra, amire mindig: ne töltsünk le alkalmazásokat nem megbízható forrásokból vagy fejlesztőktől.

Forrás: iMore.

Beoplay A2 Active akció
Apple Inc. (AAPL)

Ezt már olvastad?

A Sirinek ez is az egyik baja, hogy mindenki a célközönség. Valószínűleg hatékonyabb lenne, ha először jól működő modulokat hoznának létre egy-egy funkcióra szabva.

Miért nem ismeri anyanyelvünket az Apple virtuális asszisztense? ... - Klikk ide!