Рубрикатор |
Все новости | Новости отрасли |
Взломать iTunes и App Store может каждый
30 июля 2015 |
Представлен отчет о критической уязвимости, обнаруженной в iTunes и App Store.
Проблема кроется в системе инвойсов, которая весьма неочевидно работает со значением переменной name value, в которой хранится имя подключенного устройства. Если в процессе работы переименовать девайс, указав в строке вместо названия вредоносный код, то он будет исполнен, сообщает Hi-Tech@Mail.ru.Для взлома iTunes и App Store пользователю достаточно совершить покупку в одном из магазинов Apple. При этом система при генерации инвойса обрабатывает ряд данных, касающихся устройства, с которого была сделана покупка. Таким образом, скрипт, содержащий вредоносный код, необходимо поместить в поле с названием устройства до совершения покупки. Отмечается, что инвойс предоставляется и покупателю, и продавцу; к слову, для компрометации работы сервиса покупателю достаточно взять то же имя, что и у продавца.
По мнению специалистов, обнаруженная уязвимость может применяться в ходе взлома пользовательских сессий, проведения фишинговых атак значительной длительности, а также для перенаправления пользователей на сторонние ресурсы, где могут быть установлены небезопасные, уязвимые или рекламные модули.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.