Новая уязвимость в iOS позволяет перехватывать все действия пользователя
Специалисты по информационной безопасности компании FireEye выявили в iOS уязвимость, позволяющую приложениям записывать все действия пользователя на сенсорном экране, пишет PC Week.
Специалисты также говорят, что они обнаружили способ обхода процесса рассмотрения программ в Apple App Store и что он связан с багом регистрации нажатий по экрану.
"Мы уже создали концептуальное приложение по мониторингу невзломанных устройств iOS 7.0.x-устройств. Это мониторинговое приложение записывает все пользовательские манипуляции с сенсорным экраном и все нажатия клавиш, находясь в фоновом режиме. Приложение регистрирует в том числе нажатия по кнопке Home, по кнопкам громкости, а также по системе Touch ID. Приложение способно передавать эти данные на удаленный сервер, подконтрольный оператору атаки", — сообщается в официальном блоге FireEye.
По мнению специалистов, подобная атака может быть осуществлена как с помощью отдельного специализированного приложения, так и через эксплуатацию уязвимостей в уже установленных приложениях.
Указанная уязвимость присутствует в операционных системах iOS 7.x (включая текущую iOS 7.0.6), а также в iOS 6.1.x. Так, iOS 7 позволяет контролировать, какие приложения могут обновлять данные, находясь в фоновом режиме, но и эти ограничения можно обойти, так как вредоносное приложение можно задекларировать как приложение потокового вещания, например музыкальный плейер.
На текущий момент есть лишь один способ обезопасить себя — необходимо закрывать вручную абсолютно все приложения, запущенные в фоновом режиме. Специалисты FireEye уже работают с Apple над устранением уязвимости.
Из-за уязвимости в операционной системе Mac OS X 10.9.1 и мобильной iOS 6-й и 7-й версии хакеры могли перехватывать данные пользователей. Компания Apple признала существование этой проблемы, пообещав в ближайшее время ее исправить, информирует "Интерфакс".
В компании заявили, что они уже разработали специальное программное обеспечение, устраняющее уязвимость. Оно будет доступно для скачки в ближайшее время.
