Artikel top billede

Alvorligt sikkerhedshul opdaget i OS X og iOS

Sikkerheds-forskere har opdaget alvorligt nul-dages sårbarhed i App Store, som gør det muligt at smutte uden om Apples screenings-procedurer. Nu står døren åben for hackerne.

Sikkerheds-folk har opdaget et stort sikkerhedshul i både OS X og iOS, som kan fungere som adgangsvej for malware til Mac-computere, iPhones og iPad-tablet-computere.

Sikkerhedshullet gør det muligt for inficerede apps, som har fundet vej til App Store, at forbigå sikkerheds-foranstaltninger, sandboxes og lignende, og kopiere passwords, der anvendes i andre apps.

Dermed kan der blive åbnet for muligheden for at se private oplysninger fra andre apps, hijakce netværks-porte, se kommunikation og lignende.

"Vi har opdaget en række overraskende sårbargheder i Apples Mac OS og iOS, som gør det muligt for inficerede apps at skaffe sig adgang til følsomme data i andre apps - som passwords og tokens til iCloud, Mail og alle web-passwords, der er lagret i Google Chrome," lyder det fra professor Luyi Xing i The Register.

Smuttet lige igennem

Normalt forhindrer Apples review-proces af nye apps til App Store, at malware finder vej ind i butikken.

Slipper der alligevel malware igennem, sætter selskabet sin lid til en sandbox-løsning, der skal forhinde apps i at få adgang til data og filer ud over dem, der findes i den pågældende app.

Seks amerikanske sikkerhedseksperter fra Indiana University samt universiteterne i Beijing og Georgia mener imidlertid at have fundet en hel stribe svage punkter i den måde, hvorpå Apple tjekker apps og storage på, ligesom der er svaghedstegn i den måde, hvorpå kommunikationen mellem apps bliver tjekket på.

Ganske vist kræver udnyttelse af sårbarhederne, at det lykkes for hackere at få inficerede apps gennem Apples godkendelses-procedurer til App Store, men det er slet ikke så svært.

I hvert fald er det lykkedes for de seks forskere at oploade malware i Apples App Store flere gange uden at malwaren er blevet fandet i Apples screenings-proces.

"Vores inficerede apps røg lige igennem Apples sikkerheds-undersøgelse og blev offentliggjort i Apples Mac app store og iOS app store," siger Luyi Xing.

Han fortæller, at forskerne 'totalt crackede keychain-tjenesten," der anvendes til at gemme passwords og lignende til forskellige Apple-apps.

Den inficerede app gjorde det derefter muligt at raide en Mac-computer totalt for passwords til en række tjenester som iCloud, Mail og Google Chrome.

De har fundet flere hundrede gratis apps, som er sårbare over for malware

De kalder det for "unauthorized cross-app resource access" eller XARA.

De seks forfattere gjorde angiveligt Apple opmærksom på problemerne første gang i oktober 2014 og dernæst to gange yderligere.

Apple meddelte dem, at de ville tage op mod seks måneder at løse problemerne, men siden har forskerne intet hørt fra Apple. Sårbarhederne er derfor fortsat aktuelle.

Du kan læse sikkerheds-forskernes rapport om de alvorlige sårbarheder her: Unauthorized Cross-App Ressource Access on Mac OS X and iOS.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere