出版物と話して、アップルはそれが持っていることを確認しました Xaraが悪用する脆弱性に関する知識 iOSとOSXの両方を利用して、悪意のあるソフトウェアをインストールしたり、個人情報を盗んだりすることもできます。 これは、アクティブ化された開発者によって識別されたソフトウェアのみをインストールするオプションがない場合にインストールされる悪意のあるサードパーティソフトウェアのおかげで達成されます。このため、サンドボックス内のアプリケーション間で転送されるデータを傍受する可能性があります。パスワードとパスワード。認証。
«今週の初めに、 サーバーアプリケーションのセキュリティ更新 アプリケーションデータを保護し、Mac AppStoreでサンドボックス構成の問題があるアプリケーションをブロックします。 進行中の適用する他の修正があり、調査員と協力してすべての脅威を特定しています」とAppleの広報担当者は述べています。
脆弱性は昨年発見されました 間で働く研究者のチームによって インディアナ大学、ジョージア工科大学、中国の北京大学。 その後、これらの専門家は昨年XNUMX月にAppleに調査結果を通知しましたが、Appleはこれらの発見の詳細を尋ね、解決できるまで少なくともXNUMXか月は隠しておくように求めました。
今週公開された研究論文で説明されているように、悪意のあるアプリはOSXとiOSのようにバグを利用します アプリケーション間でデータを移動および保存します。 OS Xの場合、App Storeからダウンロードされた潜在的なマルウェアは、キーチェーンデータベースと対応するIDにアクセスして変更し、攻撃者にリモートアクセスを提供することができます。 その他の考えられる攻撃には、WebSocketとURLスキームが含まれます。
脅威は非常に現実的ですが、一部の報道機関は 彼らはXARAの危険性を過大評価しています。 ソリューションを実装するために、Appleと開発者は、より厳格なプロトコルを使用してデータ操作方法を作り直す必要があります。