En octubre de 2014, un grupo de seis investigadores superó con éxito todos los mecanismos de seguridad de Apple para colocar una aplicación en Mac App Store y App Store. En la práctica, podrían introducir aplicaciones maliciosas en dispositivos Apple que podrían obtener información muy valiosa. Según un acuerdo con Apple, este hecho no se publicaría hasta dentro de seis meses, lo que los investigadores cumplieron.
De vez en cuando oímos hablar de un agujero de seguridad, todos los sistemas los tienen, pero este es realmente grande. Permite a un atacante enviar una aplicación a través de App Stories que puede robar la contraseña del llavero de iCloud, la aplicación de correo y todas las contraseñas almacenadas en Google Chrome.
[id de youtube =”S1tDqSQDngE” ancho =”620″ alto =”350″]
La falla puede permitir que el malware obtenga una contraseña de prácticamente cualquier aplicación, ya sea preinstalada o de terceros. El grupo logró superar por completo el sandboxing y así obtuvo datos de las aplicaciones más utilizadas como Everenote o Facebook. Todo el asunto está descrito en el documento. "Acceso no autorizado a recursos entre aplicaciones en MAC OS X e iOS".
Apple no se ha pronunciado públicamente al respecto y sólo ha solicitado información más detallada a los investigadores. Aunque Google ha eliminado la integración del llavero, no soluciona el problema como tal. Los desarrolladores de 1Password han confirmado que no pueden garantizar al 100% la seguridad de los datos almacenados. Una vez que un atacante ingresa a su dispositivo, ya no es su dispositivo. Apple tiene que encontrar una solución a nivel del sistema.
Definitivamente es un error, pero el consejo depende de la persona y de la aplicación que instale.
y si instalo aplicaciones de la App Store de ofiko, a la que accedo desde los «marcadores» predeterminados del iPhone, no tengo ningún sistema iOS «craqueado», pondrá/ha puesto en peligro hasta mi cosita, ptm. ¿Mi iPhone con iOS 8,3? Según el artículo tengo la sensación de que sí... ¿Y qué aplicaciones instalo? Desde la opción "gratis".
El punto aquí es que estas aplicaciones de malware pueden ingresar a la App Store a través de la forma oficial, y luego el usuario las descarga pensando que están bien cuando han pasado la inspección de Apple. Por eso es mejor no instalar aplicaciones de desarrolladores desconocidos. Al menos así lo entiendo yo.
Exactamente como dices. De todos modos, me sorprende bastante, si la información es cierta, que Apple supuestamente lo sepa desde hace más de medio año y no haya hecho nada al respecto.
Calculo que Apple probablemente complementó el cheque en la App Store después de recibir la información, y el riesgo a este respecto es mínimo para el iPhone/iPad.
Sin embargo, esto no tiene por qué ser tan insignificante en MAC, donde las aplicaciones fuera de MacAppStore se instalan con bastante normalidad.