Ακόμη δεν έχουν καταλαγιάσει οι αντιδράσεις από το πολύ μεγάλο κενό ασφαλείας του iOS την προηγούμενα βδομάδα, SSL bug, και σήμερα στην δημοσιότητα ήρθε ακόμη ένα.
Το νέο κενό ασφαλείας επιτρέπει στους hackers να καταγράψουν κάθε επαφή που έχει ο χρήστης με την συσκευή του συμπεριλαμβανομένων αυτών του πληκτρολόγιου αλλά και του Touch ID. Eρευνητές της εταιρείας ασφαλείας FireEye έκαναν αυτή την ανακάλυψη αναφέροντας πως το πρόβλημα εντοπίζετε στο multitasking χαρακτηριστικό του iOS που επιτρέπει συνεχή παρακολούθηση στο παρασκήνιο.
Με βάση αυτή την ευπάθεια κάποιος μπορεί να δημιουργήσει μια κακόβουλη εφαρμογή ή και εξ αποστάσεως να καταγράψει όλες τις διεπαφές του χρήστη με την συσκευή του.
Το ArsTechnica αναφέρει χαρακτηριστικά:
“We have created a proof-of-concept “monitoring” app on non-jailbroken iOS 7.0.x devices. This “monitoring” app can record all the user touch/press events in the background, including, touches on the screen, home button press, volume button press and TouchID press, and then this app can send all user events to any remote server, as shown in Fig.1. Potential attackers can use such information to reconstruct every character the victim inputs.
Note that the demo exploits the latest 7.0.4 version of iOS system on a non-jailbroken iPhone 5s device successfully. We have verified that the same vulnerability also exists in iOS versions 7.0.5, 7.0.6 and 6.1.x. Based on the findings, potential attackers can either use phishing to mislead the victim to install a malicious/vulnerable app or exploit another remote vulnerability of some app, and then conduct background monitoring.”
Τα άσχημα νέα είναι πως αυτή η ευπάθεια βρίσκεται σε όλα τα iPhones και iPads με εκδόσεις iOS 7.0.4, 7.0.5, και 7.0.6, αλλά ακόμη και σε αυτά με κάποιο 6.1.x.
Τα καλά νέα είναι πως η FireEye αναφέρει πως η Apple αναγνώρισε το πρόβλημα και ετοιμάζει την επίλυση του.
