Na úvodní přednášce nedávné vývojářské konference Apple WWDC byla několikrát zmíněna oblast bezpečí, přičemž jablečný gigant dal jasně najevo, že uživatelská data jsou ve službách Apple velmi dobře ochráněna před cizíma očima. Apple přitom již téměř půl roku věděl o chybě v systémech iOS a OS X, která umožňuje útočníkovi ukrást to nejdůležitější – přihlašovací hesla.
Chybu objevili loni v listopadu výzkumníci z univerzit v Indianě, Pekingu a Georgii a okamžitě nález Applu oznámili, ten však ani po půl roce nezjednal nápravu. Vědci na vlastní kůži chybu vyzkoušeli, když vložili do Apple Store aplikaci, která díky škodlivému kódu dokázala získávat přístupová hesla a autorizační tokeny ze správy hesel iCloud Keychain nebo přímo z ostatních aplikací.
Takto se kradou tokeny při přihlašování k iCloudu…
Děje se tak díky nezabezpečené komunikaci mezi jednotlivými aplikacemi, tudíž lze hesla z této komunikace snadno odchytit. Takto se například podařilo zachytit hesla k iCloudu, Mailu či přihlašovací hesla vyplněná v prohlížeči Google Chrome. V testování se podařilo získat hesla z 88,6% zkoušených aplikací.
… a takto z prohlížeče Google Chrome
Veškeré detaily o chybě v zabezpečení se dostávají na veřejnost až nyní, neboť Apple loni v listopadu přislíbil nápravu do půl roku. Ta však nepřišla a vědci tak tento problém odhalili veřejnosti, zřejmě proto, aby Apple popohnali. Doufejme, že bezpečnostní záplata na sebe nenechá dlouho čekat, neboť riziko je velmi velké.
