שישה חוקרים באוניברסיטאות גידלו זה עתה ארנבת: לדבריהם, עם הדגמות תומכות (למטה), מחזיק המפתחות לגישה ל-OS X (ו-iOS) יהיה ניתן לפריצה בקלות רבה.
פתאום תדמיין שאתה מכובדמחזיק מפתחות
, משולב ב-Mac או iPhone שלך,מתחיל לספק את המזהים שלך לכל יישום למבדה? זה פחות או יותר מה שהטכניקה מדגימה, באמצע הדרךהסוס הטרויאניואתתוכנה זדונית.
עובדי המעבדה המכובדים האלה היו צריכיםיצר קשר עם אפל באוקטובר 2014, רק כדי לתת לקופרטינו הזדמנות לתקן במהירות את הפגם. התפוח היה מאוד קשוב והיה מבקשמועד אחרון של 6 חודשים לתיקון iOS ו-OS X. לרוע המזל, בזמן כתיבת שורות אלה, iOS 8 ומערכת ההפעלה ככל הנראה דחפו את החוקרים ליצור קשרהרשמה.
כשמדברים על פרצת אבטחה, חשוב לשמור על קור רוח ולפרט את הפרטים המדויקים.כאן, הטכניקה משתמשת בפרטים מסוימים של מחזיק מפתחות הגישה: האחרון למעשה מסוגל לחלוק מידע בין שני יישומים. כאשר אתה יוצר ערך במחזיק המפתחות עם Safari - למשל - לאף אפליקציה אחרת אין גישה אליו ואף תוכנה זדונית לא תוכל לקרוא את המידע. עם הטכניקה החדשה הזו, התוכנות זדוניות הורס את הערך המפורסם הזה ויוצר אותו מחדש עם זכויות הגישה של Safari והאפליקציה שלו. לכן, אם אתה גולש באתר האינטרנט של הבנק שלך - למשל - Safari יבקש ממך להזין מחדש את המזהים שלך, אותם הוא ישמור בקפידה במחזיק המפתחות ואשר התוכנה הזדונית תוכל לקרוא בטקסט רגיל.לכן המשתמש עלול למצוא חשודשמחזיק המפתחות איבד לפתע את הזיכרון שלו. אבל אחרי הכל, הבקשה תמיד מגיעה מאפליקציה ומאתר רשמיים, אז איןמִלְכַתְחִילָהאין צורך לדאוג.
AgileBits,המפתח של 1Password לא רואה איך לעקוף את הבעיה-אלא אם כן אתה מסתדר בלי מחזיק המפתחות. גם צוותי Chromium קיבלו את ההחלטה לא להשתמש יותר בכלי אפל, עד לפתרון.
מנקודת מבטו של המשתמש, הסכנה היא אפוא ממשית. אפילו אפליקציה מאומתת על ידי אפל (מ-Mac App Store) עשויה להסתיר את המנגנון הזה שלגניבת סיסמאות
. לכן מומלץ לא להוריד שום דבר, מחוץ למפרסמים הגדולים.
החוקרים מציינים לבסוףגם לאחר ערער את מנגנוני ההחלפה בין האפליקציותקיים ב-OS X וב-iOS, מה שישפיע על אפליקציות כמו Evernote, Facebook ועוד רבים אחרים.
זו לא הפעם הראשונה שמחזיק מפתחות הגישה מסומן או מסתיר כמה פגמים. בדרך כלל, כדי להילכד, היה עליך להזין את סיסמת המשתמש שלך או לקבל גישה פיזית למכונה.כאן, הטכניקה עדינה יותר ועלולה להטעות אפריורי כל אחדמשתמש חזק.
ברור שאנחנו מחכיםתגובה מאפל בנושא, כל הפרטים הטכניים לא נחשפו (מלבד הסרטונים המעטים, הכפופים לזהירות ואשר גלויים למעלה)
