חוקרי אבטחה מאוניברסיטת אינדיאנה והמכון הטכנולוגי של ג’ורג’יה מצאו חורי אבטחה במערכות ההפעלה של iOS ו- OSX אשר מאפשרים לכל אפליקציה זדונית “לגנוב” סיסמאות מ-Keychain, אשר משמש כמחזיק המפתחות האישי ומשמש כשרות ומנהל הסיסמאות של אפל ואשא מאפשר לך לשמור את אישורי כניסה, פרטי כרטיס אשראי ועוד.
זהירות משמירת סיסמאות במכשיר ! זהירות משמירת סיסמאות במכשיר !
החוקרים גילו לאחרונה קבוצה של פגיעויות אבטחה מאוד מפתיעה ב-Mac OS ו- iOS של אפל, ואשר מאפשרת לאפליקציה או בשמו הרגיל יישום זדוני כלשהו להשיג גישה לאיזור לא מורשה ולנתונים הרגישים של אפליקציות אחרות כגון סיסמאות ואימילים ל-iCloud, וכמובן גם לאפליקציית הדואר אשר נחשבת למאובטחת מאוד וכמובן לכלל הסיסמאות של אתרי האינטרנט המאוחסנים במכשיר על ידי Google Chrome,
על מנת להחמיר את המצב, צוות החוקרים המונה שישה חברים היה מסוגל להעלות בקלות אפליקציה זדונית כלשהי אשר מכילה תוכנות זדוניות לחנות האפליקציות של אפל ללא כל בעיות ובאישור קל יחסית. החוקר הראשי הודיע לפני מספר חודשים לאפל והסכים לבקשת החברה שלא לבצע ניצול ציבורי בששת החודשים הקרובים. אך עם זאת, הוא לא שמע מחברת אפל מאז וחלפו כבר יותר מששה חודשים. חוקרי האבטחה מודיעים שגם היום בגרסאות הבטא של 8.4 ושל היוסימיטי הם מסוגלים לבצע זאת ואשר אפל אינה חסמה את החורים הנ”ל ועדיין הם מסוגלים לבצע גניבת סיסמאות ונתונים רגישים אחרים, כמובן להעלות אפליקציות לחנות של אפל ללא אישור ובקלות ולגנוב כל חשבון Apple ID שהסיסמה שלו תהיה מסובכת ככל שתהיה שלא נשכח לרגע את חשבונות הפייסבוק או הטוויטר או פילו האינסטגרם שלנו ויש עוד הרבה דוגמאות שניתן לתת כאן.
אני צופה שאפל אומנם שתקו למעלה מששה חודשים לדברי החוקרים אבל היא מכינה הפתעות מצידה שלדעתי נראה זאת כבר ב-iOS 9 שיגיע בקרוב , אדאג לעדכן אותכם ככל שיזרמו החדשות למערכת האתר .
כעת בסרטון הבא אני מציג לכם כיצד בקלות ובקלילות אפשר וניתן לגנוב לכם את חשבון ה-Apple ID שלכם !!
צפו בסרטון הדגמה שהחוקרים ביצעו בקלות גניבת חשבון Apple ID :
https://www.youtube.com/watch?v=S1tDqSQDngE
