Kæmpe sikkerhedsbrist i OS X og iOS – apps kan stjæle passwords

OS X og iOS deler passwords via Keychain. Ondsindede er i stand til at stjæle følsomme informationer og logins fra systemet.

Sikkerhedsproblem i OS X og iOS

Sikkerhedsproblem i OS X og iOS

Brugere af Mac-computere og systemet OS X har i årevis påberåbt sig hellighed, når det kommer til sikkerhedsproblemer og virus. Hvem har ikke hørt en hellig Mac-bruger sige ”I forhold til din Windows-computer er min Mac fuldkommen sikker”, men måske skal opfattelsen revurderes en hel del.

En gruppe fra Indiana University, Georgia Tech and Peking University har i en dybdegående rapport påvist en række alvorlige sikkerhedsproblemer, der giver ondsindede applikationer, der kører i en ”sandkasse”, altså apps hentet via Apples App Store, uautoriseret adgang til følsomme data fra andre applikationer. Det omfatter også iCloud passwords og godkendelsestokens samt gemte passwords fra Google Chrome m.fl.

– ”Vi har fuldkommen cracked Apple Keychain service, der bruges til at gemme passwords og adgange fra forskellige apps. Vi har dokumenteret en svaghed i inter-app kommunikationen på OS X og iOS, hvilket kan bruges til at stjæle fortrolige data fra Evernote, Facebook og andre højt profilerede applikationer,” lyder det i rapporten.

De berørte applikationer

Det berørte apps og services er blandt andet: iCloud, Gmail, Google Drive, Facebook, Twitter, Chrome, 1Password, Evernote, Pushbullet, Dropbox, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo og Pocket.

Lederen af gruppen Luyi Xing har fremlagt sikkerhedsproblemerne for Apple i oktober 2014, og i enighed med Apple accepterede de, ikke at offentliggøre informationen før efter seks måneder, men da de på udløbsdatoen ikke har hørt fra Apple, valgte de at offentliggøre deres rapport. Det skriver The Register.

Det er også lykkedes for universitetsgruppen at placere ondsindede apps, der kunne udnytte svagheden, i App Store. Apple er ellers kendt for høj sikkerhed omkring netop app-butikken.

Nu hvor rapporten er blevet offentligt kendt, vil flere nok forsøge, at udnytte svagheden. Derfor bør Mac og iPhone / iPad brugere være forsigtige med, hvad de installerer.

Guide: Sådan sikrer du Apple ID mod misbrug

Krydsplatform-synkronisering er et problem

Apples enheder, såsom iPhone, iPad og Mac, synkroniserer logindata på kryds af enhederne, og placerer dem i Keychain. For brugeren giver det en stor lettelse, da passwords og f.eks. adgange til trådløse netværk, er tilgængelig på tværs af enhederne.

I forhold til sikkerhedsproblemet vil Keychain på Mac altså også indeholde informationer, som ikke kun er brugt på Mac, men synkroniseres fra iPhone og iPad.

1612 Mac og 200 iOS apps er undersøgt, og 88,6 procent af dem er total eksponeret for den beskrevne sikkerhedsbrist der også beskrives som XARA-angreb.

I nedenstående videoer kan du se en demonstration af sikkerhedsproblemet.

Demo af XARA-angreb

Mere til historien

Apple er ikke de eneste med huller i sikkerheden. Senest er der fundet sikkerhedsproblemer i Samsungs mobiltastatur på blandt andet Galaxy S5 og S6.

Læs også
Podcast: Myter og fakta om svindelopkald

Sådan beskytter du din iPhone mod tyveri

GUIDE: Du kan gøre livet meget sværere for tyven, der har hapset din nye iPhone.

(mere…)
Den store årlige Apple-event – dette kan du forvente

Datoen for udviklerkonferencen WWDC, som Apple afholder hvert år, er offenliggjort.

(mere…)
Stort søgsmål: Apple skaber monopol

App Store, Apple Watch, og et lukket system. Nu skal Apple forholde sig til et nyt søgsmål. Denne gang er det hjemme i USA.

(mere…)
Apple klar med ny vigtig iOS-opdatering

Apple har netop frigivet nye softwareopdateringer til de forskellige platforme. Nyt til iOS, VisionOS og iPadOS. Download nu.

(mere…)
Pas nu på dit Apple Pay

Du skal lægge mærke til denne mail, hvis du bruger Apple Pay. Jeg har efterprøvet mailen.

(mere…)
Apple annoncerer nye iPads i næste uge

Nye iPad-modeller kan være på vej - måske allerede i næste uge. Sådan lyder de seneste rygter.

(mere…)
Subscribe - få opdateringer på tråden
Notify of
0 Kommentarer
Inline Feedbacks
Se alle kommentarer
Kom et skridt foran
Vil du være fuldt opdateret på de seneste nyheder, anmeldelser samt trends og tendenser i mobilbranchen? Få de seneste vurderinger først i vores nyhedsbrev.
Gå til tilmeldingssiden
Vi dækker den bærbare teknologi – smartphones, tablets, smartwatches, forbrugerstof og bringer baggrundshistorier og guides. MereMobil.dk har en ambition om at være den primære kilde at gå til, hvis du ønsker viden om branchen, der hver dag har enorm betydning for os alle.
© 2024 MereMobil.dk. Alle rettigheder forbeholdt.
magic-wandarrow-right-circle
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram