На этой неделе группа исследователей опубликовала информацию об уязвимости нулевого дня в iOS и OS X, относящейся к большей части работающих на них приложений. Представители университета Индианы, университета Пекинга и технологического института Джорджии опубликовали свои открытия в статье под заголовком Unauthorized Cross-App Resource Access on Mac OS X and iOS («Неавторизованный кросс-программный доступ к ресурсам на платформах OS X и iOS»).
В описании рассказывается, как можно загрузить вредоносные приложения в магазины App Store и Mac App Store, обойдя системы модерации. Далее это ПО может получать доступ к данным менеджера управления паролями «Связка ключей», других установленных приложений и браузера Google Chrome.
Компания Apple официально прокомментировала публикацию, отметив, что готовит исправление уязвимости.
«Ранее на этой неделе мы установили на серверной стороной обновление безопасности, которое защищает данные приложений и блокирует ПО с проблемами в конфигурации песочницы. Сейчас совместно со специалистами мы готовим дополнительные патчи», – говорится в сообщении компании.
Apple была поставлена в известность о проблеме еще в октябре прошлого года года; в тот момент компания сообщила, что на закрытие уязвимостей потребуется полгода. Спустя восемь месяцев уязвимости по-прежнему присутствуют в последних версиях iOS и OS X.
Тем временем, команда разработчиков Google Chromium убрала интеграцию своего браузера со «Связкой ключей», считая, что проблема не может быть решена на программном уровне. По данным исследователей, перед атаками уязвимы 88% протестированных ими приложений.
Исправление уязвимости ожидается в обновлениях iOS 8.4 и OS X Yosemite 10.10.4, которые находятся на этапе тестирования.