เมื่อพูดถึงสิ่งพิมพ์ Apple ยืนยันว่ามี ความรู้เกี่ยวกับช่องโหว่ที่ Xara ใช้ประโยชน์ ใช้ประโยชน์จากทั้ง iOS และ OS X เพื่อให้สามารถติดตั้งซอฟต์แวร์ที่เป็นอันตรายและแม้แต่ขโมยข้อมูลส่วนบุคคล สิ่งนี้ทำได้โดยใช้ซอฟต์แวร์ของบุคคลที่สามที่เป็นอันตรายซึ่งติดตั้งหากเราไม่มีตัวเลือกในการติดตั้งเฉพาะซอฟต์แวร์ที่นักพัฒนาเปิดใช้งานระบุไว้ด้วยเหตุนี้จึงสามารถดักจับข้อมูลที่ถ่ายโอนระหว่างแอปพลิเคชันภายในแซนด์บ็อกซ์รวมถึงข้อมูลที่ละเอียดอ่อนเช่น รหัสผ่านและรหัสผ่านการพิสูจน์ตัวตน
«ในช่วงต้นสัปดาห์นี้เราได้ติดตั้งไฟล์ การอัปเดตความปลอดภัยของแอปพลิเคชันเซิร์ฟเวอร์ ปกป้องข้อมูลแอปพลิเคชันและบล็อกแอปพลิเคชันที่มีปัญหาการกำหนดค่าแซนด์บ็อกซ์ใน Mac App Store เรามีการแก้ไขอื่น ๆ ที่จะนำไปใช้ในงานนี้และเรากำลังทำงานร่วมกับผู้ตรวจสอบเพื่อค้นหาภัยคุกคามแต่ละอย่าง” โฆษกของ Apple กล่าว
ช่องโหว่ดังกล่าวถูกค้นพบเมื่อปีที่แล้ว โดยทีมนักวิจัยที่ทำงานระหว่าง มหาวิทยาลัยอินเดียนาจอร์เจียเทคและมหาวิทยาลัยปักกิ่งในประเทศจีน. ต่อมาผู้เชี่ยวชาญเหล่านี้ได้แจ้งให้ Apple ทราบถึงการค้นพบของพวกเขาในเดือนตุลาคมปีที่แล้วอย่างไรก็ตาม Apple ได้ขอรายละเอียดเพิ่มเติมเกี่ยวกับการค้นพบเหล่านั้นและพวกเขาถูกซ่อนไว้อย่างน้อยหกเดือนจนกว่าจะสามารถแก้ไขได้
ตามที่อธิบายไว้ในงานวิจัยซึ่งเผยแพร่ในสัปดาห์นี้แอปที่เป็นอันตรายใช้ประโยชน์จากข้อบกพร่องในลักษณะที่ OS X และ iOS ย้ายและจัดเก็บข้อมูลระหว่างแอปพลิเคชัน ในกรณีของ OS X อาจมีมัลแวร์ที่ดาวน์โหลดจาก App Store สามารถเข้าถึงและแก้ไขฐานข้อมูล Keychains และข้อมูลระบุที่เกี่ยวข้องเพื่อให้ผู้โจมตีสามารถเข้าถึงระยะไกลได้ การโจมตีที่เป็นไปได้อื่น ๆ เกี่ยวข้องกับ WebSockets และโครงร่าง URL
แม้ว่าภัยคุกคามจะเกิดขึ้นจริง แต่สำนักข่าวบางแห่งอาจ พวกเขาได้ประเมินอันตรายของ XARA มากเกินไป. ในการดำเนินการแก้ปัญหา Apple และนักพัฒนาจำเป็นต้องปรับปรุงวิธีการจัดการข้อมูลใหม่ด้วยโปรโตคอลที่เข้มงวดมากขึ้น