Como todo sistema, como todo producto que lleve la consigna de la seguridad va a ser objeto de revisión por parte de la comunidad. La evasión de sandboxes no es noticia. En cada edición de Pwn2Ownpodemos ver como caen sistemáticamente las sandbox de los navegadores, la de Android ha sido desencajada varias veces a través de múltiples tipos de vulnerabilidades. Pon una puerta acorazada con una cerradura de última tecnología y cuando te des la vuelta tendrás a un señor en camiseta negra con un PowerPoint explicándote como la abrió de manera trivial. Nada nuevo bajo el sol.
«Our research leads to the discovery of a series of high-impact security weaknesses, which enable a sandboxed malicious app, approved by the Apple Stores, to gain unauthorized access to other apps’ sensitive data«
«Note that all our attack
apps were uploaded to
the Apple App Stores«
El llavero del sistema, aunque no forma parte estrictamente de la sandbox, se comporta de manera similar, incluso desde el punto de vista de las aplicaciones la gestión de los recursos allí almacenados es parecida. En principio el llavero del sistema solo da acceso a las entradas guardadas por una misma aplicación, sin embargo es posible, cuando se crea una entrada, agregar otras aplicaciones al estilo de una lista de control de acceso.
Luis Humberto Balam Gonzalez dice
Este comentario ha sido eliminado por un administrador del blog.