Серьезная уязвимость нулевого дня Apple раскрывает пароли Keychain и приложений для злоумышленников

Кратко – Исследователи безопасности обнаружили серьезную уязвимость нулевого дня в Mac OS X и iOS, которая может быть использована для кражи данных приложений, паролей и различных других учетных данных.

Группа из шести исследователей безопасности из Университета Индианы и Технологического института Джорджии обнаружила серьезную уязвимость нулевого дня Apple как в iOS, так и в Mac OS X, которая позволяет вредоносному ПО получить несанкционированный доступ к учетным данным приложений устройства, что помогает злоумышленникам красть конфиденциальные данные пользователей, такие как пароли iCloud, пароли приложения Mail и все веб-пароли, хранящиеся в Google Chrome. Короче говоря, эта уязвимость напрямую раскрывает Keychain Apple и другие приложения, включая сторонние.

Эта уязвимость была подтверждена Apple, Google Chrome и другими.

Исследование было опубликовано в статье под названием Несанкционированный доступ к ресурсам между приложениями на MAC OS X и iOS. В исследовании участвовали: Xing; Xiaolong Bai; XiaoFeng Wang; и Kai Chen, присоединившиеся к Tongxin Li из Пекинского университета и Xiaojing Liao из Технологического института Джорджии.

Говоря с отделом безопасности The Register, команда упомянула, что они сообщили об этой уязвимости Apple в октябре 2014 года. Тогда Apple заявила, что понимает, насколько серьезна эта уязвимость, и попросила команду дать им срок в шесть месяцев, в течение которого они решат и предоставят решение этой проблемы. Apple также попросила исследователей не раскрывать эту уязвимость публично, пока они не исправят эту проблему.

В феврале 2015 года Apple попросила команду предоставить им предварительную копию их исследовательской работы. К сожалению, исследовательская группа подтвердила, что уязвимости присутствуют даже в последних версиях Mac OS X и iOS, и поэтому им пришлось раскрыть эту уязвимость публично.

Xing сказал: “Мы полностью взломали сервис keychain – используемый для хранения паролей и других учетных данных для различных приложений Apple – и песочницы на OS X, а также выявили новые слабости в механизмах межприложенческой связи на OS X и iOS, которые могут быть использованы для кражи конфиденциальных данных из Evernote, Facebook и других известных приложений.”

Xing добавил: “Наши вредоносные приложения успешно прошли процесс проверки Apple и были опубликованы в Mac App Store и iOS App Store. Мы полностью взломали сервис keychain – используемый для хранения паролей и других учетных данных для различных приложений Apple – и песочницы на OS X, а также выявили новые слабости в механизмах межприложенческой связи на OS X и iOS, которые могут быть использованы для кражи конфиденциальных данных из Evernote, Facebook и других известных приложений.”

Исследовательская группа также упомянула, что, несмотря на строгую проверку Apple, они смогли загрузить вредоносное ПО, которое использовало уязвимости в Mac OS X и iOS App Store. Похоже, что эти приложения, уязвимые к атакам, были одобрены для обеих операционных систем.

Группа также протестировала уязвимость на широком диапазоне приложений Mac и iOS, и результат был ужасным, так как показал, что почти 90% приложений были уязвимы и предоставили полный доступ вредоносному ПО, не только к хранимым данным, но и к учетным данным для входа.

Разработчик приложения 1Password, AgileBits, признал, что не смог найти способ защитить приложение от этой уязвимости. Недавний блог-пост Джеффри Голдберга из AgileBits говорит: “Ни мы, ни Луй Син и его команда не смогли найти полностью надежный способ решения этой проблемы.”

По данным группы исследователей безопасности, команда безопасности Chromium Google была более отзывчивой, и они удалили интеграцию Keychain для Chrome. Команда безопасности Google Chrome также подтвердила, что когда атака происходит на уровне приложения, будет почти невозможно защититься от этой уязвимости.

Группа исследователей безопасности также выпустила видео, которое продемонстрировало Уязвимость Keychain Google Chrome на OS X. (смотрите видео ниже)

В ответ на пост The Register, один из комментариев на Hacker News предполагает, что хотя вредоносное ПО не может напрямую получить доступ к существующим записям Keychain; однако оно может заставить пользователей войти вручную и затем захватить конфиденциальные учетные данные в новой созданной записи, таким образом косвенно получая несанкционированный доступ к конфиденциальным данным пользователей.

Исследователи безопасности также сказали: “Элементы Keychain имеют списки контроля доступа, где они могут добавлять в белый список приложения, обычно только себя. Если мое банковское приложение создает элемент keychain, вредоносное ПО не будет иметь доступа. Но вредоносное ПО может удалить и заново создать элементы keychain и добавить как себя, так и банковское приложение в ACL. В следующий раз, когда банковское приложение потребует учетные данные, оно попросит меня ввести их заново, а затем сохранит их в элементе Keychain, созданном вредоносным ПО.”

Исследователи безопасности предупреждают всех пользователей Mac OS X и iOS быть более осторожными, когда они загружают приложения от неизвестных разработчиков, будь то из iOS или Mac App Store. Кроме того, в случае, если для входа требуется Keychain и если система все еще просит пользователей войти вручную, это должно вызвать тревогу и предупредить пользователей о том, что в системе что-то не так.

Ранее в этом месяце была раскрыта уязвимость Mac BIOS/EFI, при которой злоумышленник получает постоянный контроль над Mac, и переформатирование диска также не поможет пользователю остановить злоумышленника от доступа и контроля над Mac.

Еще одна уязвимость, обнаруженная в этом месяце, была ошибкой в приложении Mail для iOS, которая, вероятно, могла быть фишинг-атакой, при которой злоумышленник запускал удаленный HTML-код, когда пользователь открывает электронное письмо, и с помощью этого кода злоумышленник мог имитировать запрос на вход в iCloud, таким образом заставляя пользователей вводить свои учетные данные Apple ID.

Исследователи безопасности говорят, что в качестве правила, пользователи никогда не должны позволять своему браузеру или менеджеру паролей хранить чувствительные логины, такие как учетные данные онлайн-банкинга.

Исследователи безопасности также упоминают: “Последствия таких атак разрушительны, приводя к полной утечке самой чувствительной информации пользователя (например, паролей) в вредоносное приложение, даже когда оно находится в песочнице. Такие находки […] являются лишь верхушкой айсберга.”

В своей статье исследователи упомянули: “Изучая коренные причины этих уязвимостей безопасности, мы обнаружили, что в большинстве случаев ни ОС, ни уязвимое приложение должным образом не аутентифицируют сторону, с которой они взаимодействуют. Фундаментально проблема заключается в том, что приложению сложно аутентифицировать владельца существующего элемента Keychain. Apple не предлагает удобного способа сделать это.”