XARA

XARA (англ. Cross-App Resource Access) — это класс уязвимостей, позволяющих вредоносным приложениям получать несанкционированный доступ к ресурсам других приложений, работающих в той же операционной системе. Впервые подробно описаны в 2015 году исследователями из Индианского университета, Технологического института Джорджии и Пекинского университета, уязвимости XARA представляют серьёзную угрозу безопасности современных песочниц и изолированных сред, особенно на macOS, iOS; аналогичные межприложенные уязвимости выявлены также на Android.

Атаки XARA используют слабые места в механизмах взаимодействия между процессами и политиках контроля доступа, что позволяет злоумышленникам обходить принцип наименьших привилегий в изолированных приложениях. Примеры включают несанкционированный доступ к элементам Keychain, угон URL-схем, угон WebSocket, а также взлом контейнеров приложений. Эти уязвимости могут привести к краже учётных данных и персональных данных без необходимости повышения привилегий или джейлбрейка.

Раскрытие XARA в 2015 году побудило разработчиков основных операционных систем внедрить расширенные меры безопасности, такие как ужесточение контроля песочницы в macOS и iOS. Тем не менее, по мере усложнения и интеграции экосистем приложений появляются новые разновидности этой уязвимости.

К 2026 году принципы XARA стали активно применяться в атаках через OAuth-фишинг. В частности, получил распространение фишинг с использованием кода устройства (англ. Device Code Phishing), который позволяет злоумышленникам получать несанкционированный межприложенческий доступ и обходить многофакторную аутентификацию (МФА)[1][2].

Первое раскрытие

Академическая статья под названием «Unauthorized Cross-App Resource Access on MAC OS X and iOS»[3] была опубликована 26 мая 2015 года группой исследователей из Индианского университета, Университета Цинхуа, Пекинского университета, Китайской академии наук и Технологического института Джорджии. Публичный выпуск работы состоялся 16 июня 2015 года[4], что получило широкий резонанс как в традиционных, так и в профильных СМИ[5][6][7][8][9].

В работе выделены отдельные категории zero-day угроз для программных приложений и хранимых паролей, которыми могут воспользоваться вредоносные программы на iOS и OS X, а также раскрыто наличие схожих уязвимостей на устройствах Android.

Реакция производителей и исправления

19 июня 2015 года компания Apple заявила средствам массовой информации[10], что предприняла меры по предотвращению попадания приложений с XARA-эксплойтами в App Store для iOS.

В мае 2026 года Apple выпустила масштабные обновления безопасности (macOS Tahoe 26.5 и iOS 26.5), устранившие ряд уязвимостей, позволявших обходить изоляцию приложений («песочницу») и получать несанкционированный доступ к данным (включая уязвимости CVE-2026-28995, CVE-2026-28988 и CVE-2026-28996)[11].[12]

Векторы атаки

В XARA каждый вектор атаки нарушает принципы песочницы компьютерной безопасности.

  1. Недоверенные партнёры при совместном использовании ресурсов, таких как файловая система, Keychain.
  2. Взаимодействие между процессами без верификации партнёра.
  3. Слабые политики безопасности системного установщика позволяют другим приложениям назначаться как общие пакеты ресурсов.
  4. OAuth-фишинг и злоупотребление согласием (англ. Consent Phishing), позволяющие вредоносному приложению получать токены доступа к ресурсам других сервисов[13].[14][15]
  5. Обход многофакторной аутентификации (МФА) путём кражи сессионных токенов через межприложенный доступ после успешной авторизации пользователя[13].[14][16][17]

Известные системы с проблемами

  1. iOS от компании Apple
  2. OS X от компании Apple
  3. Android от компании Google

Методы защиты

Методы защиты от уязвимостей класса XARA включают меры на нескольких уровнях:

  • На уровне операционной системы: ужесточение «песочницы» (sandboxing) и контроль URL-схем[17]. В Android также внедрены режим «Расширенной защиты» (Advanced Protection Mode), динамический мониторинг угроз (Live Threat Detection) и проверка личности (Identity Check).
  • Для разработчиков: использование универсальных ссылок (Universal Links) вместо кастомных URL-схем, применение XPC Services для безопасного межпроцессного взаимодействия, использование групп доступа к Keychain и обязательное включение App Sandbox[18].
  • Современные архитектурные подходы: использование Cross-App Access (XAA) с централизацией доверия через поставщика удостоверений и стандарта ID-JAG[19].

Примечания

Категории