Команда из шести исследователей из Университета Индианы, Технологического института Джорджии и Пекинского университета опубликовала подробный отчет, разоблачающий ряд уязвимостей безопасности, которые позволяют вредоносным приложениям, одобренным в App Store, получать несанкционированный доступ к конфиденциальным данным, хранящимся в других приложениях, включая пароли iCloud и токены аутентификации, сохраненные пароли в Google Chrome и многое другое.
Исследовательская работа из тринадцати страниц «Несанкционированный межприложенийный доступ к ресурсам на Mac OS X и iOS» подробно описывает, что сервисы межприложенийного взаимодействия, начиная от Keychain и WebSocket на OS X до URL Scheme на OS X и iOS, могут быть использованы для кражи конфиденциальной информации и паролей, в том числе хранящихся в популярных менеджерах паролей, таких как 1Password от AgileBits.
«Мы полностью взломали сервис Keychain, используемый для хранения паролей и других учетных данных для различных приложений Apple, и контейнеры песочницы на OS X, а также выявили новые уязвимости в механизмах межприложенийной связи на OS X и iOS, которые могут быть использованы для кражи конфиденциальных данных из Evernote, Facebook и других громких приложений.»
Различные обнаруженные на iOS и OS X уязвимости межприложенийного взаимодействия и связи, обозначенные как уязвимости XARA, включают кражу паролей из Keychain, перехват IPC, угон схем и взлом контейнеров. Затронутые приложения и сервисы включают iCloud, Gmail, Google Drive, Facebook, Twitter, Chrome, 1Password, Evernote, Pushbullet, Dropbox, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo, Pocket и ряд других.
Ведущий исследователь Луи Синг сообщил The Register, что он сообщил об уязвимостях безопасности Apple в октябре 2014 года и выполнил просьбу производителя iPhone отложить публикацию информации на шесть месяцев, но с тех пор не получал ответа от компании и теперь обнародует уязвимости нулевого дня. Эти недостатки затрагивают тысячи приложений OS X и сотни приложений iOS и теперь могут быть использованы злоумышленниками.
