XARA

XARA

その他の使用法については、Xaraを参照してください
XARAは、「Unauthorized Cross-App Resource Access」の頭字語であり、コンピューターソフトウェアシステムのゼロデイ脆弱性のカテゴリを表します。

コンテンツ
1 最初の開示
2 ベンダーによる対応
3 攻撃ベクトル
4 問題のある既知のシステム
5 も参照してください
6 参考文献

最初の開示
「MACOSXおよびiOSでの不正なクロスアプリリソースアクセス」というタイトルの学術研究論文。は、インディアナ大学、清華大学、北京大学、中国科学院、ジョージア工科大学の研究者チームによって2015年5月26日に公開されました。この論文は2015年6月16日に広く一般に公開され、主流メディアと技術メディアの両方からコメントが寄せられました。
このホワイトペーパーでは、iOSデバイスおよびOS X上のマルウェアによって悪用される可能性のある、アプリケーションおよび保存されたパスワードに対するゼロデイ脅威のいくつかの個別のカテゴリを特定しています。このペーパーでは、Androidデバイスに同様の脆弱性が存在することも開示しています。

ベンダーによる対応
2015年6月19日、Apple Computerがプレスに応え、 、彼らが実装されていたという対策を除外するために、マルウェアXARAが含ま活用彼らからのiOSのApp Store。

攻撃ベクトル
XARAでは、各攻撃ベクトルはコンピュータセキュリティサンドボックスの原則に違反しています。
ファイルシステム、キーチェーンなどの共有リソースを使用している信頼できないパートナー。
パートナーの検証なしのプロセス間通信。
システムインストーラーのセキュリティポリシーが弱いため、他のアプリケーションを共有リソースバンドルとして指定できます。

問題のある既知のシステム
iOS版からアップルコンピュータ
OS Xからアップルコンピュータ
アンドロイドのグーグル

も参照してください
標的型攻撃
アクセス制御
ソフトウェア定義の保護
サンドボックス（コンピューターセキュリティ）
ベクトル（マルウェア）

参考文献
^ Xing、Luyi; Bai、Xiaolong; Li、Tongxin; 王、XiaoFeng; チェン、カイ; リャオ、シャオジン; 胡適民; ハン、新会（2015年5月26日）。「MACOSXおよびiOSでの不正なクロスアプリリソースアクセス」。arXiv：1505.06836 。
^ 「MACOSXおよびiOSでの不正なクロスアプリリソースアクセス」。2015年6月16日。検索された18年6月2015年。
^ 「AppleCORED：Boffinsは、iOSおよびOSXのパスワードキラーゼロデイ攻撃を明らかにしました」。TheRegister。TheRegister 。検索された20年6月2015年。
^ 「OSXおよびiOSの無許可のクロスアプリケーションリソースアクセス（XARA）」。InfoSecハンドラー日記ブログ。サンステクノロジーインスティテュート。
^ 「iOSおよびOSXのセキュリティ上の欠陥により、悪意のあるアプリがパスワードやその他のデータを盗むことが可能になります」。MacRumors。MacRumors 。検索された20年6月2015年。
^ 「OSXおよびiOSパスワードを盗むためのゼロデイエクスプロイト」。ハッカーニュース。ハッカーニュース。検索された20年6月2015年。
^ 「ゼロデイエクスプロイトにより、AppStoreマルウェアはOSXおよびiOSのパスワードを盗むことができます」。MacWorld。MacWorld 。検索された20年6月2015年。
^ 「AppleはXARAのエクスプロイトについてコメントし、あなたが知る必要があること」。iMore。imore.com。2015年6月19日。