S'adressant à une publication, Apple a confirmé avoir connaissance des vulnérabilités exploitées par Xara Il tire parti d'iOS et d'OS X pour pouvoir installer des logiciels malveillants et même voler des informations personnelles. Ceci est réalisé grâce à des logiciels tiers malveillants qui sont installés si nous n'avons pas la possibilité d'installer uniquement les logiciels identifiés par les développeurs activés, pour cette raison, il peut intercepter les données qui sont transférées entre les applications dans le bac à sable, y compris les informations sensibles telles que mots de passe et mots de passe authentification.
«Au début de cette semaine, nous avons mis en place un mise à jour de sécurité de l'application serveur Il protège les données des applications et bloque les applications avec des problèmes de configuration de sandbox dans le Mac App Store. Nous avons d'autres correctifs à appliquer dans les travaux et nous travaillons avec les enquêteurs pour localiser chaque menace », a déclaré un porte-parole d'Apple.
Les vulnérabilités ont été découvertes l'année dernière par une équipe de chercheurs travaillant entre les Indiana University, Georgia Tech et Beijing University en Chine. Plus tard, ces professionnels ont informé Apple de leurs découvertes en octobre de l'année dernière, mais Apple leur a demandé plus de détails sur ces découvertes et qu'elles soient cachées pendant au moins six mois jusqu'à ce qu'elles puissent être résolues.
Comme expliqué dans le document de recherche, publié cette semaine, les applications malveillantes tirent parti des bogues à la manière d'OS X et d'iOS déplacer et stocker des données entre les applications. Dans le cas d'OS X, les logiciels malveillants potentiels téléchargés depuis l'App Store sont capables d'accéder et de modifier la base de données Keychains et les identifications correspondantes, pour donner un accès à distance à un attaquant. D'autres attaques possibles impliquent des WebSockets et des schémas d'URL.
Bien que la menace soit bien réelle, certains médias peuvent ils ont surestimé le danger XARA. Afin de mettre en œuvre une solution, Apple et les développeurs doivent retravailler les méthodes de manipulation des données avec des protocoles plus stricts.