נקודות תורפה חדשות ב Apple iOS ו- OSX

היו פגמים חדשים נחשפו apple`s מערכות ההפעלה OS Mac 10 ו- iOS אשר לגרום לסיכונים רבים, בעיקר קשור אישורי מרחרח. מעלליו אלה נמצאו על ידי חוקרים עצמאיים מאוניברסיטת אינדיאנה בבלומינגטון. בשינה שלהם להגיש תלונה, הם חושפים חולשות מרובות OS`s, כי אף שאינו מדווח להיות ניצלו, להוות סיכון רציני עבור אישורי המשתמש. פגמים אלה לפתוח הזדמנויות עבור התקפות וארגז חול שונים, התקפות מבוססות.

הפגמים

למרות OS`s IOS ו- Mac Apple`s נחשב בטוח יותר מאשר פלטפורמות אנדרואיד, באמצעות אלגוריתמים קוד ייחודי עבור יישומים שונים, בגירסאות האחרונות חשפו חולשות בהם מדי. רוב החולשות מחוברים עם באגים בקוד כי ולהנגיש את ארגזי חול apps`s. ארגז חול הוא מכל ייחודי של קוד שמפריד את קוד application`s, מגנים עליו מפני גישה לא מורשית, כפי שמוצג מטה:
תפוח-ios
מקור: https://developer.apple.com/

למרות זאת, למרות שאין דיווחים כי, קיימת אפשרות כי פושעי סייבר ייתכן שהשתמשו שיטה ערמומית. החוקרים גילו כי ניתן (למרות קשה מאוד) לעצב יישום זדוני, מתיימר להיות לגיטימי, כי יעבור מתחת לרדאר חנות אפליקציות ואולי לחדור דרך הכלי בארגז החול של אפליקציות אחרות, באמצעות מעלליו. באמצעות זה וכמה שיטות אחרות, קיימת אפשרות לקבל גישה למספר הרשאות.

יותר מזה, כי, החוקרים התוו תורפה אחרת המעניקה גישה תוכל סייבר פוטנציאלי, לשים אותם תחת השם XARA. הראשים של נקודות תורפה אלה:

מרחרח סיסמא

אפל OS`s להחזיק מערכת אבטחה המכילה Keychain שנותן למשתמש את האפשרות לשמור סיסמות מאובטחות עבור היישומים ואתרי האינטרנט שלו שבו יש לו חשבונות. הפגיעות עם המנגנון שלה היא שיישום זדוני עלול להכניס לנצל-יצירת קוד ולכן ליצור ערכים לשירותים שונים אפל. החלק המפחיד הוא יישום שינויים עלול להיות מסוגל ליצור רשומת גישה חדשה כולו, כלומר זה יכול מהמשתמש להזין את האישורים כאשר הם ניגשים האפליקציה המותקנת זה נועד עם הכניסה במחזיק המפתחות החדשה. זוהי מלכודת ערמומית עבור המשתמש וזה מאוד חשוב לשים לב עבור סיסמא כבקשות אם כבר מחוברת, מאז תהליך מרחרח סיסמא יכול להיות אפשרי.

גישה מיכל

פגם כבר חשף כי עלול לאפשר לתוקפים לקבל הרשאות עבור יישום שיבחר כיעד. זה יכול לקרות על ידי פריצת המכל (יש מכולות קוד ייחודי לכל יישום נפרד על המכשיר, מה שהופך אותו יותר מאובטח) על ידי ניצול רחבות או תוספות שונות של האפליקציה. זה יכול לתת גישת המפה זדונית עבור כל המידע, מאוחסן על אפליקצית הקורבן אשר מהווה סיכון רציני.

יירוט IPC

חולשה נוספת היא של התקשורת בתהליך אינטר, ידוע גם בכינויו IPC. סוג זה של תקשורת הוא הבין בין אפליקציות באג במערכות ההפעלה מאפשר יישום זדוני כי נראה בסדר, כדי להשיג מידע קריטי, על ידי ניצול של זה IPC.

סיכוני App

אין כמעט סיכון אמיתי עבור המשתמש, כשמדובר פגמים אלה, מאז כל היישומים ב- App Store עברו דרך תכונת אבטחה מיוחדת, Gatekeeper שנקרא, כי בזהירות בודק אותם וחוסם את היישומים החשודים. אבל, העובדה היא חוקרים אלה הצליחו לעבור את זה על ידי יצירת אפליקציה לגיטימית-לכאורה כי החליקה דרך כל ההגנות. אין פיגועים בשיטות הללו זוהו, למרות זאת, להחליט בעצמך מה מודד לך תיקח.

Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload the CAPTCHA.