0-day na iOS – możliwy ukryty keylogger

Firma Apple – czy raczej jej klienci – nie mają ostatnio szczęścia. Kilka dni temu ogłoszono podatność w systemie iOS (również w OS X) umożliwiającą ominięcie weryfikacji tożsamości serwera przy połączeniach SSL/TLS, a tym razem możliwe jest uruchomienie przez wrogą aplikację procesu monitorowania działań użytkownika.

Monitorowane mogą być m.in. zdarzenia na ekranie dotykowym (w tym użycie wirtualnej klawiatury na ekranie) – co efektywnie daje możliwości keyloggera. Badacze twierdzą, że tego typu aplikację bez problemu umieścili w oficjalnym App Store i przeszła ona pozytywnie etap zatwierdzenia.

Całość działa na najnowszym iOS (7.0.6, bez jailbreake).

–ms