В iOS і macOS знайшли вразливість, яка дає змогу красти паролі через браузер

Цікаво, що зловмисникам не потрібно встановлювати на ваш комп'ютер жодних програм чи змушувати відкривати заражені файли. Потрібно лише заманити жертву на сайт, де активується спеціальний скрипт. Він у фоновому режимі відкриває іншу сторінку зі шкідливим кодом. Хакери продемонстрували роботу "iLeakage" на прикладі злому акаунтів Gmail, а також паролів, автоматично збережених у Safari. В iOS вдалося домогтися витоку даних не тільки через стандартний браузер, а й через браузери від сторонніх компаній.

Деталі

Повідомляється, що загроза актуальна для всіх iPhone і Mac, оснащених процесорами A12Z, M1 і новішими. Захисні заходи від процесорних вразливостей Spectre і Meltdown у цьому разі не допомагають.

Особливості "iLeakage" містять у собі:

• Можливість обходу захисту в Safari на чипах A та M, використовуючи вразливість, пов'язану з неправильною інтерпретацією типів даних.
• Техніку атаки, яка не залежить від часу.
• Унікальну властивість WebKit групувати сайти різних доменів в одному процесі за допомогою JavaScript методу "window.open".

Спеціалісти кажуть, що через високу технічну складність методу атаки й потребу в глибоких знаннях для її реалізації, ризик реального її використання найближчим часом залишається невеликим.

Очікується, що Apple вживе заходів і випустить оновлення безпеки до того, як уразливість стане реальною загрозою.