Naujausiose “iOS” ir “macOS” versijose aptikta saugumo spraga, pavadinta “iLeakage”. Ši grėsmė leidžia įsilaužėliams pavogti naudotojų slaptažodžius ne tik per “Safari” naršyklę, bet ir per kitų kūrėjų naršykles.
Įdomu tai, kad užpuolikams nereikia į jūsų kompiuterį įdiegti jokios programinės įrangos ar priversti jus atidaryti užkrėstus failus. Jiems tereikia įvilioti auką į svetainę, kurioje aktyvuojamas specialus scenarijus. Jis fone atidaro kitą puslapį su kenkėjišku kodu. Įsilaužėliai pademonstravo, kaip veikia “iLeakage“, įsilauždami į “Gmail” paskyras. Į “iOS” jiems pavyko pasiekti duomenų nutekėjimą ne tik per standartinę naršyklę, bet ir per trečiųjų šalių naršykles.
Pranešama, kad grėsmė aktuali visiems “iPhone” ir “Mac” kompiuteriams su A12Z, M1 ir naujesniais procesoriais. Apsaugos priemonės nuo procesorių pažeidžiamumų “Spectre” ir “Meltdown” šiuo atveju nepadeda.
Į “iLeakage” funkcijas įeina:
- Galimybė apeiti “Safari” apsaugą “A” ir “M” lustuose, pasinaudojant pažeidžiamumu, susijusiu su neteisingu duomenų tipų interpretavimu.
- Atakos technika, kuri nepriklauso nuo laiko.
- Unikali “WebKit” savybė sugrupuoti skirtingų domenų svetaines viename procese naudojant “JavaScript” metodą “window.open”.
Ekspertai teigia, kad dėl didelio techninio atakos metodo sudėtingumo ir būtinybės turėti gilių žinių jam įgyvendinti jo realaus naudojimo artimiausiu metu rizika išlieka nedidelė.
Tikimasi, kad “Apple” imsis veiksmų ir išleis saugumo atnaujinimą anksčiau, nei pažeidžiamumas taps realia grėsme.
