Søg

Alvorlig sårbarhed i iPhone og iPad - helt åbne for angreb

Et stort sikkerhedshul i iOS gør det muligt for hackere at installere 'falske' apps, der ligner dine originale apps til forveksling, men som høster data i baggrunden. Se her, hvordan metoden fungerer.

11. november 2014 kl. 11.58
Artikel top billede
Dan Jensen Dan Jensen Redaktionschef

Sikkerheds-selskabet FireEye har opdaget en alvorlig sikkerhedsbrist i iPhone og iPad, der gør det muligt for angribere at installere 'falske' apps, der kan indlemmes på samme plads som kendte apps på telefonen og tablet-computeren.

Via disse installationer vil hackerne kunne få adgang til stort set alle informationer på telefonen.

Ifølge FireEye hedder teknikken "Masque Attack."

I en video-fremvisning af metoden fra FireEye bliver der mailet en URL til en iPhone med henblik på at installere en opdateret version af Flappy Bird-spillet.

Når brugeren klikker på linket, anmoder spillet brugeren om at godkende installationen.

Når det sker, installerer appen så i stedet en komprommiteret version af Gmail-app'en, der lægger sig oven på den originale, hvorfra den oploader hele mailboksen til en server, som hackerne står bag.

I videoen viser FireEye også, hvordan en hacker med teknikken kan få adgang til samtlige de sms'er, der er blevet sendt til iPhonen.

Ifølge sikkerheds-selskabet findes sårbarheden i iOS 7.1.1, 7.1.2, 8.0 og 8.1.1. beta.

Baggrunden er ikke mindst, at styresystemet ifølge FireEye ikke tjekker validiteten af app'ens bundlede såkaldte 'identifier,' som er en unik kode, der er indbygget i hver app, og som styresystemet anvender til at identificere app'en.

Anvender en 'falsk' app den samme bundlede 'identifier' som en rigtig og lovlig app, vil iOS derfor ikke opdage, at der er noget galt - heller ikke selv om app'en pludselig kommer fra en anden kilde med anden afsender.

Ifølge FireEye er det kun de præinstallerede apps, der ikke er i risiko for i al hemmelighed at blive erstattet af en falsk hacker-app.

Hvordan undgår man så at blive ramt?

Ifølge FireEye skal man først og fremmest sørge for alene at downloade apps fra Appes egen app store eller fra kilder, som man har absolut tillid til.

Hertil kommer, at FireEye anbefaler, at man ikke klikker på pop up-beskeder eller lignende, der opfordrer til download fra tredjeparts-websites - uanset hvilke garantier, der loves.

Du kan læse FireEyes egen beskrivelse af problemet her.

Se video-præsentationen her:

Læs også:

Apple-brugere i farezonen: Din iPhone og iPad piv-åben i ugevis

Stort hul i iOS: Hackere kan læse med på din iPhone

Populære apps til iPad og iPhone snager i dine data

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Enterprise Architecture Day 2026: Sikker og strategisk suverænitet

    Infrastruktur | Horsens

    Enterprise Architecture Day 2026: Sikker og strategisk suverænitet

    Få ny inspiration til arbejdet med EA – fra sikkerhed og compliance til orkestrering, omkostningsoptimering og cloud governance i en usikker og ustabil tid.

    Executive roundtable: Cyberrobusthed i praksis

    Sikkerhed | Aarhus C

    Executive roundtable: Cyberrobusthed i praksis

    Cyberangreb rammer driften. NIS2 og DORA kræver dokumenteret gendannelse under pres. Få konkret metode til at teste, måle og bevise robusthed på tværs af cloud, SaaS og leverandører. Deltag i lukket roundtable med Commvault og Hitachi.

    Sådan etablerer du digital suverænitet

    Digital transformation | København Ø

    Sådan etablerer du digital suverænitet

    Digital suverænitet afgør kontrol over data, systemer og afhængigheder i Danmark. Computerworld samler Dansk Erhverv og IBM-eksperter om konkrete arkitekturvalg, governance og platforme, der sikrer reel kontrol. Få overblik og handlekraft.

    Se alle vores events inden for it

    Netcompany A/S

    IT Consultant

    Københavnsområdet

    Netcompany A/S

    IT Manager

    Københavnsområdet

    Everllence

    Senior Cloud Architect – Shape the platform behind the world’s largest engines

    Københavnsområdet

    Netcompany A/S

    Operations Engineer til drift af Infrastruktur

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    55,7° North (a Beautiful Things company) har pr. 2. februar 2026 ansat Philip Jacobi Zahle, 53 år, som Partner & CSMO. Han skal især beskæftige sig med Ansvar for Salg, Marketing og Brandudvikling i Norden, som han tidligere har gjort med GoPro, Skullcandy og Insta360 m.fl. Han kommer fra en stilling som Marketing & Branding Manager hos Boston Group A/S. Han har tidligere beskæftiget sig med distribution og brand building gennem 26 år og er kendt fra mærker som GoPro, Skullcandy og Insta360. Nyt job

    Philip Jacobi Zahle

    55,7° North (a Beautiful Things company)

    netIP har pr. 20. januar 2026 ansat Magnus Futtrup Lynggaard som IT Supporterelev ved netIP's kontor i Herning. Han skal især beskæftige sig med relevante opgaver i ServiceDesk. Han er uddannet med en kontoruddannelse med speciale i administration. Nyt job

    Magnus Futtrup Lynggaard

    netIP

    Marie Søndergaard, Acting Chief Product Owner hos Energinet, har pr. 26. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Marie Søndergaard

    Energinet

    Idura har pr. 5. januar 2026 ansat Arjuna Enait, 34 år, som software engineer. Han skal især beskæftige sig med videreudvikling af Verify-systemet samt arbejde på implementeringen af CIBA i Norsk BankID. Han kommer fra en stilling som software engineer hos Lasso X. Han er uddannet civilingeniør med speciale i geoteknik. Han har tidligere beskæftiget sig med at bygge microservices til dataindsamling og -processering, samt opdatere legacy-systemer. Nyt job

    Arjuna Enait

    Idura

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Ny open source-sårbarhed får alarmklokkerne til at bimle og bamle: Angribere kan logge ind som admin
    2 Dansk it-firma pumper 760 millioner kroner ind i et af verdens bedste cykel-hold i stor-sponsorat: Får fremtrædende rolle i Tour de France
    3 Microsoft udskyder vigtig tvangs-ændring i Outlook med et helt år: Admins får mere tid til at forberede sig
    4 Test: Tilbuds-Tesla er selskabets nok bedste bil til dato: Ny Model Y giver uhørt meget bil for pengene
    5 Vejle Kommune har flyttet AI fra Microsofts sky til dansk supercomputer: ”Kvaliteten er på niveau”
    6 Microsoft klar med splinterny licens-pakke for AI-agenter: Her er E7 - det kommer licenserne til at koste
    7 Tre fede features ved den sprit-nye model af ChatGPT: Tænker bedre og mere i dybden - det kan du bruge det til
    8 Stein Bagger trækker igen overskrifter: Computerworld var med helt fremme i afdækningen af IT Factory - her er den dramatiske historie

    Se seneste uge