Allvarligt säkerhetshål exponerar lösenord

Allvarliga säkerhetsluckor i OS X och IOS gör att illasinnade kan stjäla information i nyckelringen och lösenord till appar.

Sex forskare från Indiana University och Georgia Institute of Technology har publicerat en uppsats där de dokumenterar allvarliga säkerhetshål i Apples operativsystem IOS och OS X. Detta kan låta inkräktare stjäla information från systemens nyckelring och lösenord till appar, både Apples egna och från tredje part.

En av forskarna är Luyi Xing, som berättar om problemen för The Register:

"Nyligen upptäckte vi en serie överraskande säkerhetsluckor i Apples Mac OS och IOS som låter en skadlig app få obehörigt tillträde till andra appars känsliga data så som lösenord och tokens för Icloud, Mail-appen och alla webblösenord som sparas av Google Chrome."

Forskarna har lyckats ladda upp appar som innehåller skadlig programvara, så kallad malware, till Apples egen butik Mac App Store. När programvaran installerats på en användares Mac kan den användas för att stjäla information i nyckelringen så som lösenord till bland annat Icloud och appen Mail.

Forskarlaget uppger att de kontaktade Apple angående detta redan i oktober förra året. Apple ska ha svarat och bett om sex månader för att åtgärda problemen innan uppsatsen publicerades. I februari bad Apple om en förhandskopia av uppsatsen, men fortfarande finns säkerhetshålen kvar. Ungefär 88 procent av 1 612 appar för OS X och 200 IOS-appar fanns vara "helt exponerade" för otillåten åtkomst från den illasinnade appen. Xing säger:

"Vår elaka app gick framgångsrikt igenom Apples granskningsprocess och publicerades på både Apples Mac App Store och IOS App Store. Vi knäckte hela nyckelring-tjänsten som används för att lagra lösenord och andra uppgifter för olika Apple-appar – och sandbox-behållare på OS X, och identifierade nya svagheter i kommunikationen mellan appar på OS X och IOS som kan användas för att stjäla konfidentiella data från Evernote, Facebook och andra högprofilerade appar."

Googles säkerhetsgrupp för webbläsaren Chrome har också kontaktats av forskarna, som svarade med att ta bort appens integration med nyckelringen i OS X. Agilebits, utvecklarna bakom appen 1password uppger i ett blogginlägg att de inte lyckats hitta något tillförlitligt sätt att skydda sin app mot liknande attacker. Agilebits understryker dock att attacken inte ger full tillgång till data i 1password, men däremot till lösenord som skickas från en webbläsare till tillägget 1password Mini.

Apple har ännu inte uttalat sig officiellt om problemen. Tills vidare rekommenderas vaksamhet över vilka appar som installeras på sina egna enheter, även sådana som laddas hem från Apples app-butiker. Det är också en bra praxis att inte spara särskilt känslig information, så som inloggning till banker, i webbläsaren eller lösenordshanterare.

Skriven av Jakob Nilsson
Kommentarer
5 svar

Den som använde datorer på 80- och 90-talet kommer säkerligen att småle åt veckans fredagsvideo, signerad komikern Eddie Izzard.

Efter flera år av att kräva licenskostnader för Thunderbolt-protokollet ska det bli fritt att använda för alla. Målet är att bredda användningen av protokollet.

Pokémon Go blir inte det sista spelet som låter dig leka med fantasirika kreatur i telefonen. Magikarp Jump är den senaste titeln till IOS och Android.

Den sänkta ljudnivån innebär att Spotify nu ligger på samma nivå som Tidal och Youtube, något som hyllas av ljudfantaster.

En ansökan från Apple till den amerikanska kommunikationsmyndigheten avslöjar att företaget börjat testköra mobila höghastighetsuppkopplingar.

Igår var det hela 40 år sedan det episka rymdäventyret krönte vita duken och skapade historia på ett sätt förändrade en ung 99mac-redaktion.