Kæmpe sikkerhedsbrist i OS X og iOS – apps kan stjæle passwords

OS X og iOS deler passwords via Keychain. Ondsindede er i stand til at stjæle følsomme informationer og logins fra systemet.

Sikkerhedsproblem i OS X og iOS

Sikkerhedsproblem i OS X og iOS

Brugere af Mac-computere og systemet OS X har i årevis påberåbt sig hellighed, når det kommer til sikkerhedsproblemer og virus. Hvem har ikke hørt en hellig Mac-bruger sige ”I forhold til din Windows-computer er min Mac fuldkommen sikker”, men måske skal opfattelsen revurderes en hel del.

En gruppe fra Indiana University, Georgia Tech and Peking University har i en dybdegående rapport påvist en række alvorlige sikkerhedsproblemer, der giver ondsindede applikationer, der kører i en ”sandkasse”, altså apps hentet via Apples App Store, uautoriseret adgang til følsomme data fra andre applikationer. Det omfatter også iCloud passwords og godkendelsestokens samt gemte passwords fra Google Chrome m.fl.

– ”Vi har fuldkommen cracked Apple Keychain service, der bruges til at gemme passwords og adgange fra forskellige apps. Vi har dokumenteret en svaghed i inter-app kommunikationen på OS X og iOS, hvilket kan bruges til at stjæle fortrolige data fra Evernote, Facebook og andre højt profilerede applikationer,” lyder det i rapporten.

De berørte applikationer

Det berørte apps og services er blandt andet: iCloud, Gmail, Google Drive, Facebook, Twitter, Chrome, 1Password, Evernote, Pushbullet, Dropbox, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo og Pocket.

Lederen af gruppen Luyi Xing har fremlagt sikkerhedsproblemerne for Apple i oktober 2014, og i enighed med Apple accepterede de, ikke at offentliggøre informationen før efter seks måneder, men da de på udløbsdatoen ikke har hørt fra Apple, valgte de at offentliggøre deres rapport. Det skriver The Register.

Det er også lykkedes for universitetsgruppen at placere ondsindede apps, der kunne udnytte svagheden, i App Store. Apple er ellers kendt for høj sikkerhed omkring netop app-butikken.

Nu hvor rapporten er blevet offentligt kendt, vil flere nok forsøge, at udnytte svagheden. Derfor bør Mac og iPhone / iPad brugere være forsigtige med, hvad de installerer.

Guide: Sådan sikrer du Apple ID mod misbrug

Krydsplatform-synkronisering er et problem

Apples enheder, såsom iPhone, iPad og Mac, synkroniserer logindata på kryds af enhederne, og placerer dem i Keychain. For brugeren giver det en stor lettelse, da passwords og f.eks. adgange til trådløse netværk, er tilgængelig på tværs af enhederne.

I forhold til sikkerhedsproblemet vil Keychain på Mac altså også indeholde informationer, som ikke kun er brugt på Mac, men synkroniseres fra iPhone og iPad.

1612 Mac og 200 iOS apps er undersøgt, og 88,6 procent af dem er total eksponeret for den beskrevne sikkerhedsbrist der også beskrives som XARA-angreb.

I nedenstående videoer kan du se en demonstration af sikkerhedsproblemet.

Demo af XARA-angreb

https://www.youtube.com/watch?v=S1tDqSQDngE

https://www.youtube.com/watch?v=IYZkAIIzsIo

https://www.youtube.com/watch?v=7NGlmWtw83s

Mere til historien

Apple er ikke de eneste med huller i sikkerheden. Senest er der fundet sikkerhedsproblemer i Samsungs mobiltastatur på blandt andet Galaxy S5 og S6.

Læs også
Podcast: Myter og fakta om svindelopkald

Apple ønsker at købe F1-rettighederne

RYGTE: Apple er i forhandlinger om F1-rettighederne i USA i kølvandet på deres F1-film.

(mere…)
iPhone 17 Air kan blive mere “pro”

RYGTE: Den kommende iPhone 17 Air, som vi stærkt forventer til september, bliver måske mere "pro" end først antaget.

(mere…)
iPhone 17-serien får redesignet Dynamic Island

RYGTE: Den kommende iPhone 17-serie ventes at få en redesignet Dynamic Island-brugerflade.

(mere…)
Apples driftdirektør går på pension

Apple har annonceret, at deres driftdirektør (COO) overdrager sin rolle og senere på året går på pension.

(mere…)
iPhone klarer sig bedre

For første gang i lang tid har Apple fremgang på det kinesiske marked.

(mere…)
iPhone 17 Air kan få særlig farve 

Det rygtes, at den kommende iPhone 17 Air vil få en farve, som Apple ikke tidligere har brugt på deres produkter.

(mere…)
Subscribe - få opdateringer på tråden
Notify of
0 Kommentarer
Ældste
Nyeste
Inline Feedbacks
Se alle kommentarer
Kom et skridt foran
Vil du være fuldt opdateret på de seneste nyheder, anmeldelser samt trends og tendenser i mobilbranchen? Få de seneste vurderinger først i vores nyhedsbrev.
Gå til tilmeldingssiden
Vi dækker teknologi – fra telefoner og tablets over smarthome og smartwatches til hjemmeelektronik og elbiler. Vi skriver nyheder, baggrundshistorier og guides, men udgiver også podcasts og videoer. Vores ambition er at være din foretrukne kilde til viden om en teknologi, der har afgørende betydning for os alle.
© 2025 MereMobil.dk. Alle rettigheder forbeholdt.
magic-wandarrow-right-circle
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram