Chybu, kterou nalezli analytici z Indiana University, Peking University a Georgia Institute of Technology, mohou již zneužívat hackeři. Je tak označována jako kritická.
„Nalezená zranitelnost nultého dne umožňuje krást hesla jak z Keychain, což je systém pro správu hesel v OS X, tak také přímo z jednotlivých aplikací,“ varuje národní český bezpečnostní tým CSIRT.
Apple byl přitom o problému informován již před více než půl rokem, jak upozorňuje server Intego.
Analytikům se přitom podařilo vyzkoušet chybu v rámci aplikace, kterou sami vytvořili. Podařilo se jim s ní projít kontrolou Applu, která předchází zveřejnění aplikace v App Storu.
V aplikaci byl skryt virus, který se po instalaci do zařízení snaží odchytnout hesla z různých služeb, jako je iCloud, Mail a také další hesla, jež jsou uložena třeba v Google Chrome.
To samé se může podařit i opravdovým útočníkům. Je tak třeba dát si pozor na aplikace a programy, které si do svých Apple přístrojů instalujete, než firma připraví opravu.
Chyby v autentifikaci
Podle studie je chyba způsobena nedostatečnou kontrolou a zabezpečením komunikace mezi aplikacemi navzájem a s operačním systémem. To může vést k neoprávněným přístupu využívající tzv. cross-app.
Aby týmy zjistily závažnost problému, vyvinuly nástroj, který automaticky zkoumal OS X a iOS aplikace a zjišťoval, jestli v nich chybí nezbytná ochrana, jež by je před tímto zneužitím bránila.
Vyšlo však najevo, že celých 88,6 % ze 1 612 kontrolovaných aplikací z OS X a iOS nemá proti takovému útoku obranu.