XARA-уязвимости на iOS и OS X
На этой неделе сообщалось, что группа исследователей из нескольких университетов опубликовала доклад о ряде уязвимостей на iOS и OS X. Уязвимости, классифицируемые как Xara, позволяют вредоносным приложениям, которые поддерживают Mac и iOS Stores, получить доступ к конфиденциальной информации, например, к паролям.
В докладе подробно описываются механизмы взаимодействия приложений, которые позволяют Keychain и Websocket на OS X, а также URL-схемам на iOS и OS X получить доступ к защищенным данным, включая информацию из таких приложений как 1Password, Gmail, Facebook, Twitter, Instagram, Evernote и других.
После выхода доклада Ник Арнотт и Рене Ричи на iMore сделали ряд подробных сообщений о XARA-уязвимостях, объясняя конкретно их действие, а также способы защиты от них.
В первом сообщении на iMore представлен краткий обзор XARA, с объяснением, что это группа эксплойтов, которые используют вредоносные приложения для получения доступа к конфиденциальной информации, через внедрения в цепь или “песочницу”.
OS X более подвержена XARA эксплойтам, нежели iOS, вредоносные приложения могут быть получены через Mac App Store и iOS Store. После загрузки приложение с помощью XARA эксплойтов перехватывает данные. Вот, что Ричи рассказал о механизме:
В Keychain это может быть предварительная регистрация (или удаление с повторной регистрацией) данных, в WebSockets — превентивная заявка на порт, в Bundle ID — добавление «хакерских» элементов в списки управления доступом легальных приложений, а в OS это перехват URL-схемы.
Во втором сообщении, которое предоставил Ник Арнотт, более подробно описываются XARA-уязвимости, способы идентификации и борьбы с ними.
Есть информация также о способе, который поможет узнать о перехвате пользовательских данных, к сожалению он возможен разве что лишь на iOS, там при перехвате URL-схемы вместо «нормального» приложения запустится программа-перехватчик. В принципе, этот момент можно отследить, если только «перехватчик» не имитирует со стопроцентной точностью интерфейс и поведение обычной программы.
На OS X можно узнать, где находится вредоносная связка ключей, для этого необходимо открыть приложение Keychain Access, выбрав нужное в списке, затем нажать “Get Info” и посмотреть во вкладку “Access Control”, здесь пользователь может узнать, какие приложения имеют доступ к Keychain.
Для защиты от XARA идеальным вариантом будет ввести в приложениях обязательную аутентификацию любой попытки обмена данными. Увы, в той же Keychain такое представляется нетривиальной задачей, однако решение нетривиальных задач это как раз то, чем занимаются в Купертино. При этом специфика Keychain потребует озаботиться апдейтами как сторонних разработчиков, так и саму Apple. C «песочницей» ситуация попроще — там достаточно подкрутить механизм добавления элементов в списки доступа. С точки зрения безопасности передача данных через WebSockets и URL-схемы недопустима, однако отказ от их использования может серьёзно повлиять на функциональность приложения.
На одном из видео, представленных исследователями, вредоносное приложение выдает себя за Facebook. Однако, это всего лишь похожий фишинговый сайт, который отличается от настоящего, в таком интерфейсе также не получается залогиниться.
Напомним, что Apple уже известно о XARA в течение шести месяцев и компания пытается устранить уязвимости, однако пока что без особого успеха.
Как сообщил Ричи и Арнотт, обойти эксплойты довольно просто. Чтобы избежать подобную уязвимость, необходимо загружать только лишь софт от проверенных разработчиков, а также избегать подозрительный .
