Három nagyon komoly hibát találtak az Apple asztali és mobilplatformjain, amin keresztül adatot is tudtak sikeresen lopni – például jelszavakat és autentikációs kulcsokat. Ami még súlyosabbá teszi a helyzetet, hogy a Keychainbe sikerült bejutniuk.
A hibákat egy az Indiana University, a Georgia Tech és a Pekingi Egyetem kutatóiból álló hatfős csapat fedezte fel. Az Apple elvileg már október óta tud a problémákról a kutatók nyilatkozatai szerint. A cég hat hónapos halasztást kért, mielőtt a kutatási eredményeket nyilvánossá teszik, amit a kutatók meg is adtak.
A Keychain sebezhetősége elvileg azon alapul, hogy képtelen megállapítani, hogy bizonyos alkalmazások jogosultak-e módosítani a bejegyzéseket. A most felfedezett lyukat kihasználva elvileg egy malware alkalmazás törölhet létező entryket és újakat hozhat létre a helyükre, hozzáférést adva ezzel saját magának, amivel aztán könnyedén olvasni tudja a bejegyzések tartalmát.
A kutatók videón is bemutatták, ahogy egy Keychain bejegyzést eltüntetve nyertek hozzáférést a helyi felhasználó iCloud fiókjához. Miután bejelentkeztek az iCloudba a Rendszerbeállításokban, a malware könnyedén megszerzi a hozzáférést, amit a Keychain tárolt. Hasonlóképpen a Google Chrome által a Keychainben tárolt jelszavakat is meg tudták szerezni – erre reakcióként a Google bejelentette, hogy a funkciót parkolópályára teszik, amíg nincs meg a javítás a hibára.
A másik probléma, hogy az OS X-ben elvileg van egy mechanizmus, ami a Mac App Store-ból letöltött appokat gátolja meg abban, hogy olyan adatokhoz jusson hozzá, amikhez nincsen explicit hozzáférési engedélye. Az Apple ezt úgy oldotta meg, hogy a rendszer minden apphoz egy ún. Bundle ID-t rendel hozzá, ezek egyediségét a Mac App Store igazolja.
A gond ezzel csak az, hogy a Mac App Store nem ellenőrzi az ún. helper appok Bundle ID-jének egyediségét. Ilyen helper app például a 1Password Mini, ami nem azonos a 1Passworddel, de úgyanúgy része a letöltött alkalmazáscsomagnak. Ha az ártó célú helper app egy létező app Bundle ID-jével rendelkezik, a kártevők hozzá tudnak férni a rendszerhez. Az URL sémák kezelésében is nagyon komoly problémákat találtak. Az fbauth:// séma használatával (ez az, amit az iOS appok Facebook-bejelentkezésre és autentikációra használnak) a kutatók képesek voltak elfogni a Facebook autentikációs tokenjét.
Bár a Cupertino által kért hat hónap letelt, a hibák az OS X Yosemite frissítésének pre-release bétáiban nem kerültek javításra – bár az igazsághoz hozzátartozik, hogy az El Capitanban nem tudták még tesztelni a sebezhetőségek meglétét. A gondot tovább fokozza, hogy a kutatók mind az iOS, mind a Mac App Store-ba képesek voltak feltölteni proof-of-concept alkalmazásokat, és az ártó kódokat nem fedezték fel az elbírálási folyamat során.
Amíg az Apple reakciója nem ismert, javasoljuk, hogy ismeretlen forrásból ne nagyon telepítsetek alkalmazásokat – ez vonatkozik a hivatalos App Store-okban található, kevésbé neves alkalmazásokra is.
