В iOS и macOS нашли уязвимость, позволяющую воровать пароли через браузер

Александр Гайдамашко

Источник:

Georgia Institute of Technology

Серьезная уязвимость iOS и macOS позволяет украсть ваши пароли

Иллюстративное фото / Freepik

В последних версиях iOS и macOS обнаружена уязвимость безопасности, получившая название "iLeakage". Эта угроза позволяет злоумышленникам воровать пароли пользователей не только через браузер Safari, но и через браузеры других разработчиков.

Интересно, что злоумышленникам не нужно устанавливать на ваш компьютер никаких программ или заставлять открывать зараженные файлы. Нужно лишь заманить жертву на сайт, где активируется специальный скрипт. Он открывает в фоновом режиме другую страницу с вредоносным кодом. Хакеры продемонстрировали работу "iLeakage" на примере взлома аккаунтов Gmail, а также паролей, автоматически сохраненных в Safari. В iOS удалось добиться утечки данных не только через стандартный браузер, но и через браузеры от сторонних компаний.

Подробности

Сообщается, что угроза актуальна для всех iPhone и Mac, оснащенных процессорами A12Z, M1 и более новыми. Защитные меры от процессорных уязвимостей Spectre и Meltdown в этом случае не помогают.

Особенности "iLeakage" включают в себя:

Возможность обхода защиты в Safari на чипах A и M, используя уязвимость, связанную с неправильной интерпретацией типов данных.
Технику атаки, которая не зависит от времени.
Уникальное свойство WebKit группировать сайты разных доменов в одном процессе с помощью JavaScript метода "window.open".

Специалисты говорят, что из-за высокой технической сложности метода атаки и потребности в глубоких знаниях для ее реализации риск реального ее использования в ближайшее время остается небольшим.

Ожидается, что Apple примет меры и выпустит обновление безопасности до того, как уязвимость станет реальной угрозой.