Securitatea App Store nu este chiar atât de infailibilă pe cât credeam

21.08.2013
Securitatea App Store nu este chiar atât de infailibilă pe cât credeam

Atunci când vine vorba de securitate, ecosistemul închis al platformei iOS şi verificarea manuală a aplicaţiilor admise în App Store sunt lăudate deoarece oferă o siguranţă în utilizare superioară celei a rivalului Android. Eficientă până acum, fără să fie însă şi imaculată, această securitate poate fi însă subminată în ciuda măsurilor de protecţie luate de Apple.

În 2011, Charlie Miller a exploatat o breşă de securitate a browser-ului Safari pentru a descărca, cu ajutorul unei aplicaţii publicate iniţial în App Store, cod malware de pe un server extern. Un an mai târziu, cei de la Kaspersky au descoperit o aplicaţie care care fura agenda telefonică, oferindu-le astfel creatorilor o bază de date cu adrese de email care a fost folosită pentru spam.

Cercetătorii de la Georgia Institute of Technology au publicat rezultatele unui test care arată că securitatea App Store poate fi păcălită pentru a livra utilizatorilor un troian veritabil, fără a necesita descoperirea vreunei breşe de securitate, precum în cazul lui Miller, şi care poate efectua activităţi mult mai complete decât celălalt exemplar de malware menţionat mai sus.

Conform datelor publicate, cercetătorii au putut publica în App Store o aplicaţie care a trecut prin toate testele preliminare Apple deoarece nu conţinea cod malware. După instalare, aplicaţia a putut fi însă modificată de la distanţă fără a invalida semnătura digitală Apple şi fără a declanşa semnale de alarmă, atacatorii modificând structura logică a software-ului pentru a-l face capabil să execute activităţi care nu existau în momentul verificării făcute de angajaţii Apple.

Această deficienţă a platformei iOS este asemănătoare cu cea a exploit-ului Master Key descoperit acum ceva timp pe platforma Android. Conform unei declaraţii Apple, breşa de securitate este cunoscută şi a fost corectată, neoferindu-se însă mai multe detalii despre versiunile platformelor afectate care vor fi actualizate.

Tags:
Urmărește Go4IT.ro pe Google News