Parlando a una pubblicazione, Apple ha confermato di averlo fatto conoscenza delle vulnerabilità sfruttate da Xara Sfrutta sia iOS che OS X in modo da poter installare software dannoso e persino rubare informazioni personali. Ciò si ottiene grazie a software dannoso di terze parti che viene installato se non abbiamo la possibilità di installare solo software identificato dagli sviluppatori attivati, per questo motivo può intercettare i dati che vengono trasferiti tra le applicazioni all'interno della sandbox, comprese le informazioni sensibili come password e password autenticazione.
«All'inizio di questa settimana abbiamo implementato un aggiornamento della protezione dell'applicazione server Protegge i dati delle applicazioni e blocca le applicazioni con problemi di configurazione sandbox nel Mac App Store. Abbiamo altre soluzioni da applicare nei lavori e stiamo lavorando con gli investigatori per individuare ogni singola minaccia ", ha detto un portavoce di Apple.
Le vulnerabilità sono state scoperte lo scorso anno da un team di ricercatori che lavorano tra il Indiana University, Georgia Tech e Beijing University in Cina. Successivamente questi professionisti hanno informato Apple delle loro scoperte nell'ottobre dello scorso anno, tuttavia Apple ha chiesto loro maggiori dettagli su tali scoperte e che siano state nascoste per almeno sei mesi fino a quando non potranno essere risolte.
Come spiegato nel documento di ricerca, pubblicato questa settimana, le app dannose sfruttano i bug nel modo in cui OS X e iOS spostare e archiviare i dati tra le applicazioni. Nel caso di OS X, il potenziale malware scaricato dall'App Store è in grado di accedere e modificare il database dei portachiavi e le identificazioni corrispondenti, per consentire l'accesso remoto a un aggressore. Altri possibili attacchi coinvolgono WebSocket e schemi URL.
Sebbene la minaccia sia molto reale, alcuni organi di informazione potrebbero hanno sopravvalutato il pericolo XARA. Per implementare una soluzione, Apple e gli sviluppatori devono rielaborare i metodi di manipolazione dei dati con protocolli più rigorosi.