Artikel top billede

Alvorligt sikkerhedshul opdaget i OS X og iOS

Sikkerheds-forskere har opdaget alvorligt nul-dages sårbarhed i App Store, som gør det muligt at smutte uden om Apples screenings-procedurer. Nu står døren åben for hackerne.

Sikkerheds-folk har opdaget et stort sikkerhedshul i både OS X og iOS, som kan fungere som adgangsvej for malware til Mac-computere, iPhones og iPad-tablet-computere.

Sikkerhedshullet gør det muligt for inficerede apps, som har fundet vej til App Store, at forbigå sikkerheds-foranstaltninger, sandboxes og lignende, og kopiere passwords, der anvendes i andre apps.

Dermed kan der blive åbnet for muligheden for at se private oplysninger fra andre apps, hijakce netværks-porte, se kommunikation og lignende.

"Vi har opdaget en række overraskende sårbargheder i Apples Mac OS og iOS, som gør det muligt for inficerede apps at skaffe sig adgang til følsomme data i andre apps - som passwords og tokens til iCloud, Mail og alle web-passwords, der er lagret i Google Chrome," lyder det fra professor Luyi Xing i The Register.

Smuttet lige igennem

Normalt forhindrer Apples review-proces af nye apps til App Store, at malware finder vej ind i butikken.

Slipper der alligevel malware igennem, sætter selskabet sin lid til en sandbox-løsning, der skal forhinde apps i at få adgang til data og filer ud over dem, der findes i den pågældende app.

Seks amerikanske sikkerhedseksperter fra Indiana University samt universiteterne i Beijing og Georgia mener imidlertid at have fundet en hel stribe svage punkter i den måde, hvorpå Apple tjekker apps og storage på, ligesom der er svaghedstegn i den måde, hvorpå kommunikationen mellem apps bliver tjekket på.

Ganske vist kræver udnyttelse af sårbarhederne, at det lykkes for hackere at få inficerede apps gennem Apples godkendelses-procedurer til App Store, men det er slet ikke så svært.

I hvert fald er det lykkedes for de seks forskere at oploade malware i Apples App Store flere gange uden at malwaren er blevet fandet i Apples screenings-proces.

"Vores inficerede apps røg lige igennem Apples sikkerheds-undersøgelse og blev offentliggjort i Apples Mac app store og iOS app store," siger Luyi Xing.

Han fortæller, at forskerne 'totalt crackede keychain-tjenesten," der anvendes til at gemme passwords og lignende til forskellige Apple-apps.

Den inficerede app gjorde det derefter muligt at raide en Mac-computer totalt for passwords til en række tjenester som iCloud, Mail og Google Chrome.

De har fundet flere hundrede gratis apps, som er sårbare over for malware

De kalder det for "unauthorized cross-app resource access" eller XARA.

De seks forfattere gjorde angiveligt Apple opmærksom på problemerne første gang i oktober 2014 og dernæst to gange yderligere.

Apple meddelte dem, at de ville tage op mod seks måneder at løse problemerne, men siden har forskerne intet hørt fra Apple. Sårbarhederne er derfor fortsat aktuelle.

Du kan læse sikkerheds-forskernes rapport om de alvorlige sårbarheder her: Unauthorized Cross-App Ressource Access on Mac OS X and iOS.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere