Kæmpe sikkerhedsbrist i OS X og iOS – apps kan stjæle passwords

OS X og iOS deler passwords via Keychain. Ondsindede er i stand til at stjæle følsomme informationer og logins fra systemet.

Sikkerhedsproblem i OS X og iOS

Sikkerhedsproblem i OS X og iOS

Brugere af Mac-computere og systemet OS X har i årevis påberåbt sig hellighed, når det kommer til sikkerhedsproblemer og virus. Hvem har ikke hørt en hellig Mac-bruger sige ”I forhold til din Windows-computer er min Mac fuldkommen sikker”, men måske skal opfattelsen revurderes en hel del.

En gruppe fra Indiana University, Georgia Tech and Peking University har i en dybdegående rapport påvist en række alvorlige sikkerhedsproblemer, der giver ondsindede applikationer, der kører i en ”sandkasse”, altså apps hentet via Apples App Store, uautoriseret adgang til følsomme data fra andre applikationer. Det omfatter også iCloud passwords og godkendelsestokens samt gemte passwords fra Google Chrome m.fl.

– ”Vi har fuldkommen cracked Apple Keychain service, der bruges til at gemme passwords og adgange fra forskellige apps. Vi har dokumenteret en svaghed i inter-app kommunikationen på OS X og iOS, hvilket kan bruges til at stjæle fortrolige data fra Evernote, Facebook og andre højt profilerede applikationer,” lyder det i rapporten.

De berørte applikationer

Det berørte apps og services er blandt andet: iCloud, Gmail, Google Drive, Facebook, Twitter, Chrome, 1Password, Evernote, Pushbullet, Dropbox, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo og Pocket.

Lederen af gruppen Luyi Xing har fremlagt sikkerhedsproblemerne for Apple i oktober 2014, og i enighed med Apple accepterede de, ikke at offentliggøre informationen før efter seks måneder, men da de på udløbsdatoen ikke har hørt fra Apple, valgte de at offentliggøre deres rapport. Det skriver The Register.

Det er også lykkedes for universitetsgruppen at placere ondsindede apps, der kunne udnytte svagheden, i App Store. Apple er ellers kendt for høj sikkerhed omkring netop app-butikken.

Nu hvor rapporten er blevet offentligt kendt, vil flere nok forsøge, at udnytte svagheden. Derfor bør Mac og iPhone / iPad brugere være forsigtige med, hvad de installerer.

Guide: Sådan sikrer du Apple ID mod misbrug

Krydsplatform-synkronisering er et problem

Apples enheder, såsom iPhone, iPad og Mac, synkroniserer logindata på kryds af enhederne, og placerer dem i Keychain. For brugeren giver det en stor lettelse, da passwords og f.eks. adgange til trådløse netværk, er tilgængelig på tværs af enhederne.

I forhold til sikkerhedsproblemet vil Keychain på Mac altså også indeholde informationer, som ikke kun er brugt på Mac, men synkroniseres fra iPhone og iPad.

1612 Mac og 200 iOS apps er undersøgt, og 88,6 procent af dem er total eksponeret for den beskrevne sikkerhedsbrist der også beskrives som XARA-angreb.

I nedenstående videoer kan du se en demonstration af sikkerhedsproblemet.

Demo af XARA-angreb

https://www.youtube.com/watch?v=S1tDqSQDngE

https://www.youtube.com/watch?v=IYZkAIIzsIo

https://www.youtube.com/watch?v=7NGlmWtw83s

Mere til historien

Apple er ikke de eneste med huller i sikkerheden. Senest er der fundet sikkerhedsproblemer i Samsungs mobiltastatur på blandt andet Galaxy S5 og S6.

Læs også
Podcast: Myter og fakta om svindelopkald

Flere store Mac-ændringer er på vej

RYGTE: Apple arbejder på flere store ændringer til Mac og en tilføjelse, som nogle nok har ønsket længe.

(mere…)
PlayStation VR2 med Apple Vision Pro?

KORT NYT: Apple og Sony arbejder på at få PlayStation VR-controllere til Vision Pro.

(mere…)
Apple sagsøgt for over 1 milliard dollars efter droppet funktion

Et milliardstort søgsmål mod Apple er indgivet i Northern California, efter Apple droppede et tiltag grundet sikkerhedsrisici.

(mere…)
Er Apple på vej med et HomeKit-kamera?

RYGTE: Apple rygtes endnu engang at være på vej med et smarthome-kamera til hjemmet.

(mere…)
Software-udfordringer udskyder HomePod med skærm

Grundet softwareudfordringer tyder det på, at Apple måske udskyder deres kommende ”smart-home-hub” til WWDC25.

(mere…)
Apple Vision Pro lanceres på endnu et marked

Apple har netop lanceret deres Apple Vision Pro i Sydkorea og De Forenede Arabiske Emirater. Nu følger endnu et marked.

(mere…)
Subscribe - få opdateringer på tråden
Notify of
0 Kommentarer
Ældste
Nyeste
Inline Feedbacks
Se alle kommentarer
Kom et skridt foran
Vil du være fuldt opdateret på de seneste nyheder, anmeldelser samt trends og tendenser i mobilbranchen? Få de seneste vurderinger først i vores nyhedsbrev.
Gå til tilmeldingssiden
Vi dækker den bærbare teknologi – smartphones, tablets, smartwatches, forbrugerstof og bringer baggrundshistorier og guides. MereMobil.dk har en ambition om at være den primære kilde at gå til, hvis du ønsker viden om branchen, der hver dag har enorm betydning for os alle.
© 2024 MereMobil.dk. Alle rettigheder forbeholdt.
magic-wandarrow-right-circle
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram