En declaraciones a una publicación, Apple confirmó que tiene conocimiento de las vulnerabilidades que el exploit Xara aprovecha tanto en iOS como en OS X de modo que puede instalar software malicioso y hasta el robo de información personal. Esto lo consigue gracias a software malicioso de terceros que se instala si no tenemos activada la opción de instalar solo software identificado de desarrolladores, por esta razón puede interceptar datos que se transfieren entre aplicaciones de dentro del sandbox, incluyendo información sensible como contraseñas y claves de autenticación.
«A principios de esta semana hemos implementado una actualización de seguridad de aplicaciones de servidor que protege los datos de aplicaciones y bloquea las aplicaciones con problemas de configuración de sandbox en la Mac App Store. Tenemos otras correcciones que aplicar en curso y estamos trabajando con los investigadores para localizar todas y cada una de las amenazas.», dijo un portavoz de Apple.
Las vulnerabilidades fueron descubiertas el año pasado por un equipo de investigadores que trabajan entre la Universidad de Indiana, Georgia Tech y la Universidad de Beijing en China. Posteriormente estos profesionales informaron a Apple de sus hallazgos en octubre del año pasado, sin embargo Apple les pidió mas detalles de esos descubrimientos y que fuesen ocultados durante al menos seis meses hasta poderse solucionar.
Como se explica en el documento de investigación, que fue publicado esta semana, las aplicaciones maliciosas se aprovechan de errores en la forma en que OS X y iOS mueven y almacenan datos entre aplicaciones. En el caso de OS X, el malware potencial descargado de la App Store es capaz de acceder y modificar la base de datos Llaveros y las identificaciones correspondientes, para dar acceso remoto a un atacante. Otros ataques posibles implican WebSockets y esquemas de URL.
Si bien la amenaza es muy real, algunos medios de prensa quizá han sobrevalorado peligro de XARA. Con el fin de implementar una solución, Apple y los desarrolladores necesitan volver a trabajar en los métodos de manipulación de datos con protocolos más estrictos.