В iOS и macOS обнаружили уязвимость, позволяющую красть пароли из Safari

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 27 Oct 2023.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    962
    Likes Received:
    2,311
    Reputations:
    25
    Исследователи обнаружили уязвимость временного выполнения в iOS и macOS под названием iLeakage. С её помощью злоумышленники могут использовать Safari для кражи паролей, электронных писем, платёжной информации и других данных. По словам исследователей, пока никто не успел воспользоваться ошибкой.

    [​IMG]
    Во время атаки пользователь переходит на сайт, который фоном открывает другой веб-ресурс с вредносным кодом, используемым для нарушения изоляции памяти. Ошибка браузерного движка WebKit в том, что он группирует сайты из разных доменов в один процесс, используя функцию JavaScript window.open. Поэтому у таких сайтов общая память, а запустив вредоносный код, можно вытащить конфиденциальные данные из всего процесса.

    Исследователи безопасности показали, как им удалось скомпрометировать логины и пароли от нескольких популярных социальных сетей, восстановить письма из сервиса Gmail, собрать историю просмотра YouTube и получить данные из функции автоматического заполнения Safari.

    Уязвимость iLeakage можно использовать на устройствах с процессорами A12, M1 и более новыми. Ошибка встречается только в браузерах на базе WebKit. На iOS это все доступные браузеры, а на macOS только Safari. В 2018 году похожие ошибки Spectre и Meltdown обнаружили в процессорах от AMD и Intel. Компании выпустили патчи, а Apple перенесла систему защиты от подобных атак в свои чипы, но iLeakage обходит их.

    Отмечается, что провести атаку с помощью iLeakage легче, чем подготовиться к ней. Для этого надо иметь опыт работы с подобными ошибками и глубоко понимать, как работают процессоры Apple. По этой причине ошибку ещё никто не использовал. Известно, что Apple знает об iLeakage и готовит патч.

     
    CyberTro1n likes this.
Loading...