Очень серьезная системная уязвимость обнаружена в продуктах Apple

10 сентября 2015 12:55


Два исследователя из ливанской компании MyKi сообщили об обнаруженной уязвимости в используемой в десктопах и ноутбуках Apple операционной системе OS X. Это серьезная брешь в системе безопасности, которая может использоваться преступниками для похищения аутентификационной информации пользователей, в том числе паролей от системных и прикладных программ. Причем доступ и похищение данных происходит совершенно незаметно, как для хозяина системы, так и для антивирусных программ. Уязвимость была обнаружена случайно: разрабатывая собственное приложение для OS X, специалисты обнаружили, что в определенной точке работы программы, система предложила нажать кнопку на форме и предоставила доступ к «связке ключей». То есть, операционная система предоставила прикладной программе доступ к хранилищу паролей, не запросив подтверждение пользователя и ввод его пароля.

 

Действие уязвимости

 

Когда это было обнаружено, программисты MyKi написали эксплойт, который вызывает форму, имитирует движение мышкой и нажатие на кнопку подтверждения. Все эти действия тестового вируса происходят в течение 200 мс, соответственно, даже если пользователь в этот момент находится перед компьютером, он ничего не заметит. Получив доступ к базе паролей и ключей, эксплойт отправляет похищенную информацию на запрограммированный номер телефона с помощью iMessage. Данный эксплойт, это исследовательская программа, а реальный       злоумышленник может распорядиться данными по-другому, записывать в зашифрованный файл или передавать на какой-то сервер в интернет.

 

Сам программный код, управляющий курсором мыши может быть встроен в любой объект, например, ливанские исследователи добавили этот код к изображению. И как только эта картинка появляется на экране, происходит атака, на которую антивирусная защита не реагирует. Возможно, объяснением бездействия антивирусов является то, что файл изображения не считается опасным объектом, а встроенный в него код, это только команды, двигающие курсор.

 

Новая серьезная уязвимость в OS X

 

Степень опасности

 

Так как «связка ключей iСloud» используется в OS X повсеместно, не реально отключить ее для защиты от данной уязвимости. Очень опасно, что возможные действия такого рода игнорируют антивирусы, а открытие любого приложения приведет к компрометации паролей для него. Учитывая, что вся экосистема устройств Apple использует единое хранилище паролей пользователя, от использования найденной уязвимости могут пострадать не только владельцы компьютеров Apple, но и пользователи мобильных гаджетов. На текущий момент Apple нее выпустила корректирующей заплатки, хотя исследователи уведомили компанию о найденной уязвимости.





Обсудить материал (0)


Предыдущая статья

Появилась новая услуга от Google — экспорт данных с жесткого диска в облако
Следующая статья

Портал Reuters заблокирован на территории Китая



Японская Konica Minolta расширяет диагностический бизнес поглощением американской компании

Более известная своим печатным оборудованием и факсами, Konica Minolta решила расширить сферу своей деятельности и сообщила о намерении купить американскую компанию Ambry Genetics Corporation. Сфера деятельности последней — диагностика с помощью генетического анализа. В финансировании сделки частично участвует Японская инновационная сетевая корпорация. 

Читать далее...

Юристы Apple атакуют Qualcomm

Юристы, представляющие компанию Apple в судебном противостоянии с Qualcomm, заявили об отмене лицензионного соглашения про отчисления производителю коммуникационных микросхем с каждого выпущенного iPhone. Если американской компании удастся отстоять свою позицию в суде, то основа бизнеса-концепции Qualcomm окажется подорванной. Напомним, юридические сражения между двумя компаниями начались, после того как Apple предоставила южнокорейским антимонопольным органам информацию для расследования против Qualcomm. А последняя, в отместку, отказалась предоставить американской компании миллиард долларов положенной скидки по контрактам. Apple возмутилась и подала в суд. 

 

Читать далее...

С 2018 года Chrome будет блокировать слишком навязчивую рекламу

Уже не один месяц ходили слухи о том, что Google решила создать собственный блокировщик рекламы, как альтернативу плагинам сторонних производителей. Проблема последних в том, что они блокирую все подряд. Это вредит бизнесу владельцев сайтов, распространяющих полезный контент бесплатно в расчете на доходы от рекламных объявлений. Компания Google стала участником группы Coalition for Better Ads («Коалиции за лучшую рекламу»), которая поставила целью искоренить из глобальной сети «плохую» рекламу и приучить пользователей не блокировать рекламу, которая не нарушает приличия. 

 

Читать далее...

Эпидемия WannaCry: Microsoft обвиняет спецслужбы США

По мере заражения сотен тысяч компьютеров по всему миру новым трояном-шифровальщиком, за последние четыре дня на Microsoft много раз сыпались упреки в уязвимости ее ОС. Хотя компания еще в марте выпустила обновление, устраняющее уязвимость многие пользователи проигнорировали эту заплатку. Хотя очевидно, что нынешний паралич больниц, полицейских структур и многих государственных и частных организаций является следствием не использования Windows, а неиспользования методов обеспечения безопасности, вина традиционно возлагается на продукт компании Microsoft (и никто не замечает эволюционировавшей и усовершенствованной защитной системы Windows). Теперь главный юрист компании решил указать на настоящих, по его мнению, виновников эпидемии.

Читать далее...

По слухам, Lenovo уничтожит еще один свой мобильный бренд, теперь под нож идет ZUK

Крупнейший производитель компьютеров, китайская Lenovo, активно борется и за покупателей мобильных устройств. Для этого на рынке играли три независимых бренда: сама марка Lenovo, купленный в Америке мемориальный производитель Motorola с дополнением Vibe, а также ZUK, очень хорошо продававшийся на просторах поднебесной. С точки зрения пользователей ZUK идеально сочетал топовую начинку и привлекательную цену, обеспечивая своим владельцам возможность за небольшие деньги пользоваться последними достижениями мобильных технологий. Но по социальным сетям прошла информация (пока не подтвержденная) что китайская компания решила закрыть вполне успешного ZUK Mobile.

Читать далее...

Месть сисадмина стоимостью в $100 000

Суда американского штата Массачуссетс разбирается с делом бывшего системного администратора компании Allegro MicroSystems. По мнению компании Нимеш Патель намеренно разрушил внутреннюю систему учета работы и бухгалтерского учета. Патель проработал в Allegro 14 лет и оказавшись уволенным таким образом (по мнению Allegro) отомстил своему бывшему работодателю. Бывший сисадмин сумел уничтожить часть финансовой информации на своем бывшем месте работы уже после увольнения, внедрив вирус во внутреннюю сеть компании.

 

Читать далее...

Новый iPad с лаконичным названием и усовершенствованными характеристиками

Компания Apple отправило в небытие линейку iPad Air 2 и представила поклонникам этого бренда новый планшет под строгой и лаконичной маркой iPad, без каких либо приставок или номеров. Это таблетка с экраном диагональю 9,7 дюйма и мощным процессором Apple А9. Также, увеличилась яркость Retina дисплея, хотя разрешение осталось тем же 2048х1536 точек. В алюминиевый корпус этого гаджета установили аккумулятор, который обеспечит независимость от розетки до 10 часов.

 

Читать далее...

Представлена технология «атомного» накопителя от IBM

В журнале «Nature» была опубликована статья о новом достижении исследователей IBM. Американская компания сообщила, что в недрах ее лаборатории получил магнит, состоящий из одного атома, и на этот сверхминиатюрный прибор удалось подать ток и использовать для чтения и записи информации. Ученые IBM продемонстрировали, как два «атомных» магнита на расстоянии не более нанометра друг от друга могут независимо выполнять запись и чтение данных с носителя.

 

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов