Väljaandega rääkides kinnitas Apple, et on teadmised haavatavustest, mida Xara kasutab See kasutab ära nii iOS-i kui ka OS X-i, et saaks installida pahatahtlikku tarkvara ja isegi varastada isiklikke andmeid. See saavutatakse tänu pahatahtlikule kolmanda osapoole tarkvarale, mis on installitud, kui meil pole võimalust installida ainult arendajate tuvastatud tarkvara, mis on aktiveeritud. Sel põhjusel saab see kinni pidada liivakastis olevate rakenduste vahel edastatud andmeid, sealhulgas tundlikku teavet, näiteks paroolid ja paroolid.
«Selle nädala alguses viisime ellu a serverirakenduse turbevärskendus See kaitseb rakenduste andmeid ja blokeerib liivakasti konfiguratsiooniprobleemidega rakendused Mac App Store'is. Meil on töös muid parandusi, mida töödes rakendada, ja töötame koos uurijatega iga ohu leidmiseks, ”ütles Apple'i pressiesindaja.
Haavatavused avastati eelmisel aastal vahel töötanud teadlaste meeskond Indiana ülikool, Georgia Tech ja Pekingi ülikool Hiinas. Hiljem teatasid need spetsialistid Apple'ile oma leidudest eelmise aasta oktoobris, kuid Apple palus neilt nende avastuste kohta rohkem üksikasju ja et need oleksid vähemalt kuus kuud varjatud, kuni need on lahendatud.
Nagu sel nädalal avaldatud uurimistöös selgitati, kasutavad pahatahtlikud rakendused vigu ära nii, nagu OS X ja iOS andmete teisaldamine ja salvestamine rakenduste vahel. OS X puhul on App Store'ist alla laaditud potentsiaalsel pahavaral juurdepääs ja muutmine võtmehoidjate andmebaasile ja vastavale identifitseerimisele, et anda ründajale kaugjuurdepääs. Muud võimalikud rünnakud hõlmavad WebSockets ja URL-i skeeme.
Ehkki oht on väga reaalne, võivad mõned uudistepunktid seda teha nad on XARA ohtu üle hinnanud. Lahenduse juurutamiseks peavad Apple ja arendajad andmete manipuleerimise meetodid rangemate protokollidega ümber töötama.