Специалисты опровергают наличие новой уязвимости iOS

На этой неделе специалисты из FireEye поделились информацией о новой уязвимости под названием Masque Attack, которая позволяет злоумышленникам заменить любое приложение на устройстве пользователя с его согласия. Вот только эта «уязвимость» оказалась далеко не так страшна и вряд ли может считаться критичной.

Как оказалось, в основе Masque Attack лежит использование обычного корпоративного сертификата, при помощи которого и может происходить установка замаскированного приложения. О такой возможности знают не только специалисты по безопасности в Apple, но и хакеры на протяжении последних лет. Единственным способом для обхода этого — было использование корпоративного сертификата с истекшим сроком, но эта уязвимость была закрыта в iOS 8.1.

«Фактически, хакеры используют обычный корпоративный сертификат. Если Apple узнает о неправомерном использовании такого сертификата, то она удаленно сможет заблокировать его, после чего приложение злоумышленников перестанет работать.

Даже после установки приложения с использованием такого сертификата приложение не сможет получить доступ к файловой системе устройства из-за отсутствия root-доступа», — разработчик и специалист по безопасности iOS Антон Титков.

Вместе с этим несколько минут назад Apple опубликовала подтверждение отсутствия уязвимости, в котором компания просит пользователей не устанавливать приложения из непроверенных источников, отличных от App Store.

Источник: Apple