Kæmpe sikkerhedsbrist i OS X og iOS – apps kan stjæle passwords

OS X og iOS deler passwords via Keychain. Ondsindede er i stand til at stjæle følsomme informationer og logins fra systemet.

Sikkerhedsproblem i OS X og iOS

Brugere af Mac-computere og systemet OS X har i årevis påberåbt sig hellighed, når det kommer til sikkerhedsproblemer og virus. Hvem har ikke hørt en hellig Mac-bruger sige ”I forhold til din Windows-computer er min Mac fuldkommen sikker”, men måske skal opfattelsen revurderes en hel del.

En gruppe fra Indiana University, Georgia Tech and Peking University har i en dybdegående rapport påvist en række alvorlige sikkerhedsproblemer, der giver ondsindede applikationer, der kører i en ”sandkasse”, altså apps hentet via Apples App Store, uautoriseret adgang til følsomme data fra andre applikationer. Det omfatter også iCloud passwords og godkendelsestokens samt gemte passwords fra Google Chrome m.fl.

– ”Vi har fuldkommen cracked Apple Keychain service, der bruges til at gemme passwords og adgange fra forskellige apps. Vi har dokumenteret en svaghed i inter-app kommunikationen på OS X og iOS, hvilket kan bruges til at stjæle fortrolige data fra Evernote, Facebook og andre højt profilerede applikationer,” lyder det i rapporten.

De berørte applikationer

Det berørte apps og services er blandt andet: iCloud, Gmail, Google Drive, Facebook, Twitter, Chrome, 1Password, Evernote, Pushbullet, Dropbox, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo og Pocket.

Lederen af gruppen Luyi Xing har fremlagt sikkerhedsproblemerne for Apple i oktober 2014, og i enighed med Apple accepterede de, ikke at offentliggøre informationen før efter seks måneder, men da de på udløbsdatoen ikke har hørt fra Apple, valgte de at offentliggøre deres rapport. Det skriver The Register.

Det er også lykkedes for universitetsgruppen at placere ondsindede apps, der kunne udnytte svagheden, i App Store. Apple er ellers kendt for høj sikkerhed omkring netop app-butikken.

Nu hvor rapporten er blevet offentligt kendt, vil flere nok forsøge, at udnytte svagheden. Derfor bør Mac og iPhone / iPad brugere være forsigtige med, hvad de installerer.

– Guide: Sådan sikrer du Apple ID mod misbrug

Krydsplatform-synkronisering er et problem

Apples enheder, såsom iPhone, iPad og Mac, synkroniserer logindata på kryds af enhederne, og placerer dem i Keychain. For brugeren giver det en stor lettelse, da passwords og f.eks. adgange til trådløse netværk, er tilgængelig på tværs af enhederne.

I forhold til sikkerhedsproblemet vil Keychain på Mac altså også indeholde informationer, som ikke kun er brugt på Mac, men synkroniseres fra iPhone og iPad.

1612 Mac og 200 iOS apps er undersøgt, og 88,6 procent af dem er total eksponeret for den beskrevne sikkerhedsbrist der også beskrives som XARA-angreb.

I nedenstående videoer kan du se en demonstration af sikkerhedsproblemet.

Demo af XARA-angreb

https://www.youtube.com/watch?v=S1tDqSQDngE

https://www.youtube.com/watch?v=IYZkAIIzsIo

https://www.youtube.com/watch?v=7NGlmWtw83s

Mere til historien

Apple er ikke de eneste med huller i sikkerheden. Senest er der fundet sikkerhedsproblemer i Samsungs mobiltastatur på blandt andet Galaxy S5 og S6.

Læs også
– Podcast: Myter og fakta om svindelopkald