В мобильной и настольной операционной системе Apple была обнаружена опасная уязвимость, которая ставит под сомнение безопасность всех данных, хранимых в iCloud Keychain (Связке ключей iCloud). Критическая уязвимость была найдена группой исследователей университета Индианы, Джорджии и Пекинского университета Китая.
«Связку ключей iCloud» используют для хранения логинов и паролей с целью авто-заполнения в приложениях и веб-ресурсах. Как сообщает The Register, все аутентификационные данные приложений и пароли не безопасно хранить в iCloud Keychain, так как они могут быть легко перехвачены.
Для более детального изучения этой проблемы исследователи создали отдельную программу, которая крадет логины и пароли из приложений. При этом модераторы App Store благополучно пропустили приложение в магазин. Несколько видеороликов экспертов демонстрируют, как происходит атака. На первом видео удается получить банковские учетные данные в браузере Google Chrome на последнем Mac OS X 10.10.3 Yosemite. На втором ролике вредоносное программное обеспечение смогло украсть «токен» iCloud, используемый для входа в iCloud через System Preferences.
Подробное исследование этой проблемы безопасности было представлено в виде дипломной работы в 13 страниц под названием «Несанкционированное кросс-приложение для доступа к ресурсам на Mac OS X и iOS». О своей находке исследователи сообщили Apple в 2014 году, которая в свою очередь попросила 6 месяцев на устранение уязвимости. Настоятельно не рекомендуем вам устанавливать приложения от неизвестных источников.