Artikel top billede

Alvorligt sikkerhedshul opdaget i OS X og iOS

Sikkerheds-forskere har opdaget alvorligt nul-dages sårbarhed i App Store, som gør det muligt at smutte uden om Apples screenings-procedurer. Nu står døren åben for hackerne.

Sikkerheds-folk har opdaget et stort sikkerhedshul i både OS X og iOS, som kan fungere som adgangsvej for malware til Mac-computere, iPhones og iPad-tablet-computere.

Sikkerhedshullet gør det muligt for inficerede apps, som har fundet vej til App Store, at forbigå sikkerheds-foranstaltninger, sandboxes og lignende, og kopiere passwords, der anvendes i andre apps.

Dermed kan der blive åbnet for muligheden for at se private oplysninger fra andre apps, hijakce netværks-porte, se kommunikation og lignende.

"Vi har opdaget en række overraskende sårbargheder i Apples Mac OS og iOS, som gør det muligt for inficerede apps at skaffe sig adgang til følsomme data i andre apps - som passwords og tokens til iCloud, Mail og alle web-passwords, der er lagret i Google Chrome," lyder det fra professor Luyi Xing i The Register.

Smuttet lige igennem

Normalt forhindrer Apples review-proces af nye apps til App Store, at malware finder vej ind i butikken.

Slipper der alligevel malware igennem, sætter selskabet sin lid til en sandbox-løsning, der skal forhinde apps i at få adgang til data og filer ud over dem, der findes i den pågældende app.

Seks amerikanske sikkerhedseksperter fra Indiana University samt universiteterne i Beijing og Georgia mener imidlertid at have fundet en hel stribe svage punkter i den måde, hvorpå Apple tjekker apps og storage på, ligesom der er svaghedstegn i den måde, hvorpå kommunikationen mellem apps bliver tjekket på.

Ganske vist kræver udnyttelse af sårbarhederne, at det lykkes for hackere at få inficerede apps gennem Apples godkendelses-procedurer til App Store, men det er slet ikke så svært.

I hvert fald er det lykkedes for de seks forskere at oploade malware i Apples App Store flere gange uden at malwaren er blevet fandet i Apples screenings-proces.

"Vores inficerede apps røg lige igennem Apples sikkerheds-undersøgelse og blev offentliggjort i Apples Mac app store og iOS app store," siger Luyi Xing.

Han fortæller, at forskerne 'totalt crackede keychain-tjenesten," der anvendes til at gemme passwords og lignende til forskellige Apple-apps.

Den inficerede app gjorde det derefter muligt at raide en Mac-computer totalt for passwords til en række tjenester som iCloud, Mail og Google Chrome.

De har fundet flere hundrede gratis apps, som er sårbare over for malware

De kalder det for "unauthorized cross-app resource access" eller XARA.

De seks forfattere gjorde angiveligt Apple opmærksom på problemerne første gang i oktober 2014 og dernæst to gange yderligere.

Apple meddelte dem, at de ville tage op mod seks måneder at løse problemerne, men siden har forskerne intet hørt fra Apple. Sårbarhederne er derfor fortsat aktuelle.

Du kan læse sikkerheds-forskernes rapport om de alvorlige sårbarheder her: Unauthorized Cross-App Ressource Access on Mac OS X and iOS.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Erhvervsakademiet Lillebælt
Udvikling og salg af klassebaseret undervisning, blandt andet inden for multimedie og it.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere