[Mac-BR] Vulnerabilidade no OS X

[Caio M]

Voces viram isso?

parece ser grave, pelo que entendi o app consegue copiar a senha do keychain do iCloud ou outro programa para a do app malicioso.


Caio



Vulnerabilidade no OS X e no iOS permite que apps maliciosos roubem senhas e outras informações

 Eduardo Marques <https://macmagazine.com.br/author/eduardo/>  17/06/2015 às 12:38 39 <https://macmagazine.com.br/2015/06/17/vulnerabilidade-no-os-x-e-no-ios-permite-que-apps-maliciosos-roubem-senhas-e-outras-informacoes/#disqus_thread>
Seis pesquisadores da Universidade de Indiana, da Georgia Tech e da Universidade de Pequim publicaram um extenso documento <https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view> (13 páginas) que revela falhas de segurança no OS X e no iOS as quais permitem que apps maliciosos aprovados pela equipe da App Store — e que rodam em modo sandbox <https://macmagazine.com.br/2012/03/07/seguranca-no-mundo-apple-sandboxing/> — tenham acesso não-autorizado a informações sensíveis armazenadas em outros apps.




De acordo com o The Register <http://www.theregister.co.uk/2015/06/17/apple_hosed_boffins_drop_0day_mac_ios_research_blitzkrieg/>, o grupo conseguiu enviar um aplicativo para a App Store e passar pelo processo de aprovação sem levantar nenhuma suspeita que poderia invadir o Acesso às Chaves (Keychain Access) para roubar senhas de serviços/apps como iCloud, Mail, tokens de autenticações, senhas salvas pelo Google Chrome, etc.




A forma de comunicação para roubar essas informações varia, passando pelo Keychain e pelo WebSocket no OS X, e esquemas de URL (URL schemes, tanto no OS X quanto no iOS). Desta forma, até mesmo informações armazenadas no aplicativo 1Password podem ser roubadas, mostrando que a falha é realmente grave (afinal o app tem como premissa armazenar e guardar todas as suas senhas e informações sensíveis em um único local). Além do 1Password, informações de serviços/apps como Gmail, Google Drive, Facebook, Twitter, Evernote, Pushbullet, Dropbox, WeChat, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo, Pocket e muitos outros também podem ser roubadas “facilmente”.

88,6% dos 1.612 [aplicativos para] Mac e 200 aplicativos para iOS foram encontrados “completamente expostos” ao ataque de acesso não-autorizado entre apps [identificado como XARA], permitindo que aplicativos maliciosos roubem dados de forma segura.




Ainda de acordo com o The Register, as falhas foram relatadas para a Apple em outubro de 2014. Eles então respeitaram o pedido da Maçã de não publicar as informações por seis meses. Contudo, como até agora a empresa não corrigiu o problema e não falou mais nada sobre o assunto, os pesquisadores estão expondo a vulnerabilidade publicamente.

Vamos torcer para que tudo seja corrigido o quanto antes!
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://lists.powercity.net/pipermail/mac-br-powercity.net/attachments/20150619/3cd19722/attachment.htm>