В начале этой недели исследователи из нескольких университетов опубликовали отчет, раскрывающий ряд уязвимостей безопасности в iOS и OS X. Уязвимости, все под кодовым названием XARA, позволяли вредоносным приложениям, одобренным в Mac App Store и iOS App Store, получать доступ к конфиденциальным данным, таким как пароли.

В отчете подробно описаны несколько методов, которые службы взаимодействия между приложениями могут использовать для доступа ко всему, от Keychain и Websocket в OS X до схем URL в iOS и OS X, предоставляя хакерам доступ к конфиденциальным данным, включая информацию, хранящуюся в сторонних приложениях, таких как 1Password, Gmail, Facebook, Twitter, Instagram, Evernote и других.

После публикации отчета Ник Арнотт и Рене Ричи из iMore провели глубокий анализ уязвимостей XARA в серии публикаций на эту тему, объяснив, что именно они делают, как они работают в iOS и OS X, и какие шаги вы можете предпринять для защиты.

В первой статье от iMore дается краткий обзор того, что такое XARA, объясняя, что это группа эксплойтов, использующих вредоносные приложения для получения доступа к защищенной информации путем встраивания себя в середину цепочки связи или «песочницы».

В первую очередь от эксплойтов XARA страдает OS X, а не iOS, и вредоносные приложения могут распространяться через Mac App Store и iOS Store. После загрузки приложение, использующее эксплойты XARA, ждет, чтобы перехватить данные. Ричи объясняет, как это работает:

Для связок ключей OS X это включает предварительную регистрацию или удаление и повторную регистрацию элементов. Для WebSockets это включает упреждающее занятие порта. Для идентификаторов пакетов это включает добавление вредоносных подцелей в списки контроля доступа (ACL) легитимных приложений.

Для iOS это включает угон схемы URL легитимного приложения.

Во второй подробной статье iMore об XARA, написанной Ником Арноттом, еще более детально рассматриваются уязвимости XARA и описывается, как определить, были ли вы затронуты. В OS X можно проверить наличие вредоносных записей в связке ключей, открыв приложение Keychain Access, щелкнув элемент в списке, выбрав «Справка» и посмотрев вкладку «Контроль доступа», чтобы увидеть, какие приложения имеют доступ к элементу связки ключей.

Как подробно описал Арнотт, единственный эксплойт XARA, затрагивающий устройства iOS, — это угон схемы URL, который можно обнаружить, внимательно относясь к приложениям, открываемым по схеме URL, поскольку они могут выглядеть немного иначе, чем настоящие.

Учитывая все вышесказанное, вы можете помочь защититься от угона схем URL, если будете внимательны: когда вызываются схемы URL, соответствующее приложение вызывается на передний план. Это означает, что даже если вредоносное приложение перехватит схему URL, предназначенную для другого приложения, оно должно будет выйти на передний план, чтобы отреагировать. Таким образом, злоумышленнику придется приложить определенные усилия, чтобы осуществить подобную атаку, не будучи замеченным пользователем.

В одном из видео, предоставленных исследователями, их вредоносное приложение пытается выдать себя за Facebook. Подобно фишинговому веб-сайту, который выглядит не совсем как настоящий, интерфейс, представленный в видео как Facebook, может вызвать у некоторых пользователей сомнения: представленное приложение не авторизовано в Facebook, а его интерфейс представляет собой веб-представление, а не нативное приложение.

Apple известно об XARA уже несколько месяцев, и, по словам исследователей, поделившихся уязвимостью с Apple, компания несколько раз пыталась устранить ее без особого успеха. Избежать эксплойта относительно просто, как отмечают Ричи и Арнотт. Избежать вредоносных приложений можно, загружая программное обеспечение только от доверенных разработчиков и избегая всего, что кажется подозрительным.

Для тех, кто интересуется более подробной информацией об уязвимостях XARA, стоит прочитать обзорный пост о эксплойтах от iMore и более подробную статью.

Обновление: В пятницу Apple предоставила iMore следующее заявление относительно эксплойтов XARA:

«В начале этой недели мы внедрили серверное обновление безопасности приложений, которое защищает данные приложений и блокирует приложения с проблемами конфигурации песочницы из Mac App Store», — заявил представитель Apple изданию iMore. «У нас есть дополнительные исправления в работе, и мы сотрудничаем с исследователями для изучения заявлений в их статье.»