Специалисты по информационной безопасности говорят о выявлении уязвимости в iOS, позволяющей приложениям записывать все действия пользователя по сенсорному экрану, а также регистрировать нажатия кнопок. Особо стоит отметить, что данный трюк работает с не взломанными устройствами iOS, а также с приложениями, работающими в фоновом режиме.
В ИТ-компании FireEye говорят, что сенсорные функции являются основными средствами ввода в iOS-устройства, поэтому данный баг сродни возможности размещения в системе клавиатурного шпиона. Кроме того, атакующий может получать данные о координатах X и Y для определения того, какие именно символы были нажаты на планшете или смартфоне. Сообщается, что указанная уязвимость присутствует в операционных системах iOS 7.x (включая текущую iOS 7.0.6), а также в iOS 6.1.x. В FireEye говорят, что уже уведомили Apple о проблеме в продукте и ожидают соответствующего патча.
Специалисты также говорят, что они обнаружили способ обхода процесса рассмотрения программ в Apple App Store. Сообщается, что он связан с багом регистрации нажатий по экрану. “Мы уже создали концептуальное приложение по мониторингу не взломанных устройств iOS 7.0.x-устройств. Это мониторинговое приложение записывает все пользовательские манипуляции с сенсорным экраном и все нажатия клавиш, находясь в фоновом режиме. Приложение регистрирует в том числе нажатия по кнопке Home, по кнопкам громкости, а также по системе Touch ID. Приложение способно передавать эти данные на удаленный сервер, подконтрольный оператору атаки”, – говорят в FireEye.
В FireEye говорят, что атакующие могут использовать технику социальной инженерии для заражения планшета или смартфона вредоносным софтом. По словам специалистов, iOS 7 позволяет контролировать, какие приложения могут обновлять их данные, находясь в фоновом режиме, но и эти ограничения можно обойти, так как вредоносное приложение можно задекларировать, как приложение потокового вещания, например музыкальный плеер. (Apple/NovostIT)