Ci sono stati nuovi difetti che sono stati scoperti in apple`s sistemi operativi Mac OS 10 e iOS, che causano numerosi rischi, prevalentemente connessi con credenziali annusando. Questi exploit sono stati trovati da ricercatori indipendenti da Indiana University di Bloomington. nella loro rapporto, rivelano molteplici carenze nei OS`s, che pur non essendo riferito ad essere sfruttato, costituire grave rischio per le credenziali dell'utente. Questi difetti si aprono nuove opportunità per i vari attacchi e Sandbox, attacchi basati.
i difetti
Anche se Apple`s IOS e Mac OS`s sono considerati più sicuri rispetto alle piattaforme Android, utilizzando un algoritmo codice unico per le diverse applicazioni, Le versioni più recenti hanno portato alla luce le debolezze anche in loro. La maggior parte dei punti deboli sono collegati con bug nel codice che danno accesso alle apps`s sandbox. Una sandbox è un unico contenitore di codice che separa il codice application`s, proteggendolo da accesso non autorizzato, come mostrato di seguito:
fonte: https://developer.apple.com/
Tuttavia, anche se non ci sono rapporti che indicano che, v'è la possibilità che i criminali possono aver usato un metodo furbo. I ricercatori hanno scoperto che è possibile (anche se molto difficile) alle imbarcazioni un'applicazione dannosa, fingendo di essere legittimo, che passerà sotto il radar store ed eventualmente penetrare attraverso il contenitore sandbox di altre applicazioni, utilizzando exploit. Utilizzando il presente ed alcuni altri metodi, v'è la possibilità di accedere a una serie di privilegi.
Più ad esso che quello, i ricercatori hanno delineato altre vulnerabilità che danno accesso ad un potenziale truffatore informatico, mettendoli sotto il nome XARA. Principale di tali vulnerabilità sono:
password sniffing
Apple ha OS`s in possesso di un sistema di sicurezza che contiene portachiavi che offre all'utente la possibilità di mantenere in modo sicuro le password per le sue applicazioni e siti web in cui ha conti. La vulnerabilità con il suo meccanismo è che un'applicazione dannosa può inserire Exploit-creazione di codice e quindi creare voci ai vari servizi Apple. La parte spaventosa è che un'applicazione modificata potrebbe essere in grado di creare un intero nuovo voce di accesso, il che significa che si può chiedere all'utente di immettere le proprie credenziali durante l'accesso l'applicazione installata si propone di con la nuova voce portachiavi. Questa è una trappola subdola per l'utente ed è molto importante prestare attenzione per la richiesta della password se già effettuato l'accesso, dal momento che un processo di sniffing della password potrebbe essere possibile.
accedere al contenitore
Un difetto è stato scoperto che potrebbe consentire agli aggressori di ottenere le autorizzazioni per un app che scelgono come destinazione. Questo può accadere per l'hacking del contenitore (contenitori hanno codice unico per ogni applicazione separata sul dispositivo, rendendolo più sicuro) sfruttando estensioni diverse o add-on del app. Questo potrebbe dare l'accesso a una mappa dannoso per tutte le informazioni, memorizzati su App vittima, che è un grave rischio.
IPC Intercettazione
Un'altra debolezza è nella comunicazione tra processi, altrimenti noto come IPC. Questo tipo di comunicazione è realizzata tra le applicazioni e un bug nei sistemi operativi consente un'applicazione dannosa che sembra a posto, per ottenere informazioni critiche, sfruttando questa IPC.
Rischi App
Non v'è quasi nessun rischio reale per l'utente, quando si tratta di questi difetti, in quanto tutte le applicazioni di App Store sono passati attraverso una funzionalità di protezione speciale, chiamato Gatekeeper, che li e blocca le applicazioni sospette controlla con attenzione. Ma, resta il fatto che questi ricercatori sono stati in grado di passare attraverso la creazione di un'applicazione legittima apparentemente che scivolò attraverso tutte le difese. sono stati rilevati attacchi che utilizzano questi metodi, tuttavia, decidere per te misure che si intendono prendere.