Alvorlig sårbarhed i iPhone og iPad - helt åbne for angreb

Et stort sikkerhedshul i iOS gør det muligt for hackere at installere 'falske' apps, der ligner dine originale apps til forveksling, men som høster data i baggrunden. Se her, hvordan metoden fungerer.

11. november 2014 kl. 11.58

Dan Jensen Redaktionschef

Sikkerheds-selskabet FireEye har opdaget en alvorlig sikkerhedsbrist i iPhone og iPad, der gør det muligt for angribere at installere 'falske' apps, der kan indlemmes på samme plads som kendte apps på telefonen og tablet-computeren.

Via disse installationer vil hackerne kunne få adgang til stort set alle informationer på telefonen.

Ifølge FireEye hedder teknikken "Masque Attack."

I en video-fremvisning af metoden fra FireEye bliver der mailet en URL til en iPhone med henblik på at installere en opdateret version af Flappy Bird-spillet.

Når brugeren klikker på linket, anmoder spillet brugeren om at godkende installationen.

Når det sker, installerer appen så i stedet en komprommiteret version af Gmail-app'en, der lægger sig oven på den originale, hvorfra den oploader hele mailboksen til en server, som hackerne står bag.

I videoen viser FireEye også, hvordan en hacker med teknikken kan få adgang til samtlige de sms'er, der er blevet sendt til iPhonen.

Ifølge sikkerheds-selskabet findes sårbarheden i iOS 7.1.1, 7.1.2, 8.0 og 8.1.1. beta.

Baggrunden er ikke mindst, at styresystemet ifølge FireEye ikke tjekker validiteten af app'ens bundlede såkaldte 'identifier,' som er en unik kode, der er indbygget i hver app, og som styresystemet anvender til at identificere app'en.

Anvender en 'falsk' app den samme bundlede 'identifier' som en rigtig og lovlig app, vil iOS derfor ikke opdage, at der er noget galt - heller ikke selv om app'en pludselig kommer fra en anden kilde med anden afsender.

Ifølge FireEye er det kun de præinstallerede apps, der ikke er i risiko for i al hemmelighed at blive erstattet af en falsk hacker-app.

Hvordan undgår man så at blive ramt?

Ifølge FireEye skal man først og fremmest sørge for alene at downloade apps fra Appes egen app store eller fra kilder, som man har absolut tillid til.

Hertil kommer, at FireEye anbefaler, at man ikke klikker på pop up-beskeder eller lignende, der opfordrer til download fra tredjeparts-websites - uanset hvilke garantier, der loves.

Du kan læse FireEyes egen beskrivelse af problemet her.

Se video-præsentationen her:

Læs også:

Apple-brugere i farezonen: Din iPhone og iPad piv-åben i ugevis

Stort hul i iOS: Hackere kan læse med på din iPhone

Populære apps til iPad og iPhone snager i dine data

CIO

Dansk CIO står bag kæmpe transformation i tysk gigant: Skal centralisere it fra 80 lande

Seneste nyt

|Vis seneste uge

Politik

Amerikanske tech-investorer vil have en bid af Grønland: Kan blive vigtig brik i globalt tech- og sikkerhedskapløb

Erfaren og udfordret 2026

Bruges AI til at vrage ældre kandidater? Det mener tre modne, danske, jobsøgende it-professionelle

Fyringer

Var engang selskabets største satsning: Nu fyrer Meta 10 procent af særlig afdeling

Konsulenter

Konsulent-giganten Capgemini oplever stor fremgang med sin danske SAP-indsats: Her er hovedpunkterne i selskabets strategi

Læses lige nu

Klumme

Agentbaseret AI er ved at vende SaaS-forretningen på hovedet

Annonce

Event: Strategisk It-sikkerhedsdag 2026 - Aarhus

Sikkerhed | Aarhus C

Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem tre spor og styrk både indsigt og netværk. Deltag i Aarhus 22. januar.

22. januar 2026 | Gratis deltagelse