13 ページの研究論文「Mac OS X および iOS における不正なクロスアプリ リソース アクセス」では、OS X のキーチェーンや WebSocket から OS X および iOS の URL スキームに至るまで、アプリ間対話サービスが悪用される可能性があると詳しく述べています。 AgileBits の 1Password などの一般的なパスワード保管庫に保存されているものを含む、機密情報とパスワードを盗むこと。
「私たちは、さまざまな Apple アプリのパスワードやその他の認証情報を保存するために使用されるキーチェーン サービスと、OS X 上のサンドボックス コンテナを完全にクラックしました。また、OS X と iOS のアプリ間通信メカニズム内に、窃盗に使用できる新たな弱点も特定しました。 Evernote、Facebook、その他の有名なアプリからの機密データ。」
iOS と OS X で発見されたさまざまなアプリ間および通信メカニズムの脆弱性は、XARA の弱点として特定されており、キーチェーンのパスワードの盗用、IPC の傍受、スキームのハイジャック、コンテナのクラッキングなどがあります。影響を受けるアプリとサービスには、iCloud、Gmail、Google Drive、Facebook、Twitter、Chrome、1Password、Evernote、Pushbullet、Dropbox、Instagram、WhatsApp、Pinterest、Dashlane、AnyDo、Pocket などが含まれます。
主任研究員のLuyi Xing氏は
The Register
に対し、2014年10月にセキュリティ上の欠陥をAppleに報告し、情報の公開を6か月間差し控えるというiPhoneメーカーの要請に応じたが、それ以来同社から連絡がなく、現在ゼロの欠陥を暴露していると語った。日中の脆弱性を一般に公開します。この欠陥は数千の OS X アプリと数百の iOS アプリに影響を及ぼし、攻撃者によって武器化される可能性があります。
