Investigadores de las Universidades de Indiana y de Pekín, y del Instituto de Tecnología de Georgia informaron de un fallo de seguridad en iOS y OSX que podría conducir al robo de contraseña.
En su trabajo hacen referencia a una nueva categoría de debilidades de seguridad a la que llaman XARA (Cross-App Resource Access) y que amenaza seriamente la protección del aislamiento de aplicación en sistemas operativos modernos.
En los sistemas operativos modernos, las aplicaciones bajo el mismo usuario están separadas unas de otras para protegerlas contra el malware y programas comprometidos. La cuestión es si tal aislamiento es eficaz contra ataques XARA de acceso a recursos de aplicaciones cruzadas dada la complejidad de los sistemas operativos actuales.
Realizaron un análisis sistemático de la seguridad en sistemas MAC OS X e iOS y descubrieron una serie de debilidades de seguridad de alto impacto, que permiten a una aplicación maliciosa aislada, aprobada por las tiendas de Apple, a obtener acceso no autorizado a los datos confidenciales de otras aplicaciones.
El estudio revela que los servicios de interacción entre aplicaciones pueden ser explotados por malware para acceder a los recursos de otras aplicaciones, y robar información confidencial como las contraseñas para servicios de iCloud, correo electrónico y bancario así como el token secreto de Evernote. En estos servicios se incluye el llavero y WebSocket en OS X y el esquema URL en OS X e iOS.
También descubrieron que el diseño de la sandbox de aplicaciones en OS X es vulnerable y que se puede romper, exponiendo el directorio privado de la aplicación al malware que secuestra su ID de paquete Apple y revelando los datos sensibles del usuario, como las notas y contactos en Evernote y las fotos en WeChat.
Las consecuencias de estos ataques son serias, incluyendo fugas de contraseñas de usuario, tokens secretos y toda clase de documentos confidenciales.
Para los investigadores estos problemas son causados por la falta de autenticaciones de aplicación-a-aplicación y de aplicación-a-sistema operativo.