Изследователи от компанията за сигурност FireEye разкриха нов бъг в iOS, който позволява на злонамерен софтуер да записва действията на потребителите, докато работи във фонов режим. Експлойтът използва недостатък в мултитаскинг възможностите на операционната система, за да улови движенията и да ги изпрати до отдалечен сървър.
За да демонстрират тази слабост, учените са създали приложение, което доказва теорията им. След като бъде исталирано на устройството, то записва всички действия, с точните им координати, включително и кои бутони са използвани, както и всички Touch ID събития.
Дори блокирането на настройката „Background App Refresh“ в iOS 7 не може да спре приложението да записва данни, единственото решение е ръчното му премахване от таск мениджъра. Компанията твърди, че тази слабост е на лице в настоящите версии на операционната система, като за демонстрацията е използван не джейлбрейкнат iPhone 5S с версия 7.0.4, а по данни на MacRumors уязвимостта съществува и в 7.0.5 , 7.0.6 и 6.1.x.
Подобен софтуер би могъл да се използва успешно за фишинг атаки и е много опасен в момент, в който потребителите доверяват все повече чувствителна информация на своите устройства. FireEye работи активно с Apple за отстраняване на проблема, въпреки че няма официално изявление по въпроса.
Новината идва по-малко от седмица, след като Apple закърпи със спешен ъпдейт друга уязвимост в SSL криптирането. Интересното е, че тази слабост е на лице и при OS X и според нови проучвания, допълнителни приложения като FaceTime и iMessage могат да бъдат компрометирани. Apple е потвърдила пред Reuters, че това ще бъде поправено съвсем скоро.
