Zavřít reklamu

Technici z bezpečnostní společnosti FireEye odhalili novou bezpečnostní chybu v iOS, která umožňuje vměstnat škodlivý kód do aplikace a následně sledovat veškeré vstupy uživatele do iOS. Tyto vstupy je následně možné odeslat na vzdálený server přímo k útočníkům. Aplikace se speciálním kódem dokáže zaznamenat jakoukoli stisknutou klávesu včetně, tlačítko nebo dokonce přístup do zařízení pomocí Touch ID. Následně je tak možné poskládat ze stisknutých znaků například přihlašovací údaje.

Aplikace navíc vše monitoruje v momentě, kdy běží na pozadí v multitaskingu a tak pokud aplikaci spustíte a neukončíte ji přímo v multitaskingu, dojde k tomu, že v momentě kdy začnete používat například Safari, všechny klávesy které stisknete jsou zaznamenány a odeslány na vzdálený server. Vědci vytvořili speciální monitorovací aplikaci, která dokonce prošla při schvalování do iTunes App Store a následně monitorovala stisknuté klávesy na virtuální klávesnici, stisknutí všech tlačítek a dokonce i přístup přes Touch ID. Při schvalování do iTunes App store se podařilo aplikaci projít díky speciálně upraveným kódům, které tuto funkci účinně maskují.

Vědci aktivně spolupracují s Apple na opravení problému a podle vyjádření se Apple aktivně podílí na spolupráci a má skutečný zájem na nápravě chyby. Apple tak v relativně krátké době čelí dalšímu problému. Ten totiž přichází jen několik dní poté, co se ukázalo, že iOS zařízení mají až do verze iOS 7.0.6 vydané v pátek problém se zabezpečením SSL. Problém, který dokáží vědci využít k zachycení stisknutých virtuálních kláves je ve všech verzích iOS 7 a iOS 6.

fireeye_logging_ios_flaw2
Zdroj: Redakce Letem světem Applem
Témata: ,

Související články

Dnes nejčtenější