Topnyhed:Nana Bule forlader Microsoft: Her er den nye direktør for Microsoft Danmark

Artikel top billede

Alvorligt sikkerhedshul opdaget i OS X og iOS

Sikkerheds-forskere har opdaget alvorligt nul-dages sårbarhed i App Store, som gør det muligt at smutte uden om Apples screenings-procedurer. Nu står døren åben for hackerne.

Sikkerheds-folk har opdaget et stort sikkerhedshul i både OS X og iOS, som kan fungere som adgangsvej for malware til Mac-computere, iPhones og iPad-tablet-computere.

Sikkerhedshullet gør det muligt for inficerede apps, som har fundet vej til App Store, at forbigå sikkerheds-foranstaltninger, sandboxes og lignende, og kopiere passwords, der anvendes i andre apps.

Dermed kan der blive åbnet for muligheden for at se private oplysninger fra andre apps, hijakce netværks-porte, se kommunikation og lignende.

"Vi har opdaget en række overraskende sårbargheder i Apples Mac OS og iOS, som gør det muligt for inficerede apps at skaffe sig adgang til følsomme data i andre apps - som passwords og tokens til iCloud, Mail og alle web-passwords, der er lagret i Google Chrome," lyder det fra professor Luyi Xing i The Register.

Smuttet lige igennem

Normalt forhindrer Apples review-proces af nye apps til App Store, at malware finder vej ind i butikken.

Slipper der alligevel malware igennem, sætter selskabet sin lid til en sandbox-løsning, der skal forhinde apps i at få adgang til data og filer ud over dem, der findes i den pågældende app.

Seks amerikanske sikkerhedseksperter fra Indiana University samt universiteterne i Beijing og Georgia mener imidlertid at have fundet en hel stribe svage punkter i den måde, hvorpå Apple tjekker apps og storage på, ligesom der er svaghedstegn i den måde, hvorpå kommunikationen mellem apps bliver tjekket på.

Ganske vist kræver udnyttelse af sårbarhederne, at det lykkes for hackere at få inficerede apps gennem Apples godkendelses-procedurer til App Store, men det er slet ikke så svært.

I hvert fald er det lykkedes for de seks forskere at oploade malware i Apples App Store flere gange uden at malwaren er blevet fandet i Apples screenings-proces.

"Vores inficerede apps røg lige igennem Apples sikkerheds-undersøgelse og blev offentliggjort i Apples Mac app store og iOS app store," siger Luyi Xing.

Han fortæller, at forskerne 'totalt crackede keychain-tjenesten," der anvendes til at gemme passwords og lignende til forskellige Apple-apps.

Den inficerede app gjorde det derefter muligt at raide en Mac-computer totalt for passwords til en række tjenester som iCloud, Mail og Google Chrome.

De har fundet flere hundrede gratis apps, som er sårbare over for malware

De kalder det for "unauthorized cross-app resource access" eller XARA.

De seks forfattere gjorde angiveligt Apple opmærksom på problemerne første gang i oktober 2014 og dernæst to gange yderligere.

Apple meddelte dem, at de ville tage op mod seks måneder at løse problemerne, men siden har forskerne intet hørt fra Apple. Sårbarhederne er derfor fortsat aktuelle.

Du kan læse sikkerheds-forskernes rapport om de alvorlige sårbarheder her: Unauthorized Cross-App Ressource Access on Mac OS X and iOS.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI & machine learning i dagligdagen – teknologi og best practice

Kunstig intelligens og machine learning er i gang med at forandre de måder, som vi arbejder på i organisationer og virksomheder - både i det store og i det små. Bliv inspireret til hvordan kan du selv udnytte dem til at gøre din organisation klogere, skarpere og mere effektiv.

06. december 2022 | Læs mere


ERP løsninger til SMV segmentet

For små og mellemstore virksomheder gemmer der sig meget store muligheder for effektivisering og data-udnyttelse i valget af ERP-system. Med det rigtige valg kan man udnytte eksempelvis machine learning, AI, procesautomatisering og meget andet på tværs af hele organisationen til blandt andet lagerstyring, produktion, distribution, intelligent afrapportering.

07. december 2022 | Læs mere


Identity & Access Management - sådan holder du din virksomhed sikker

God styring af brugerrettigheder er en af de mest effektive måder til at højne it-sikkerheden. For det kan hurtigt gå galt, hvis system-rettigheder, system-adgang og lignende ikke hele tiden opdateres. Kom og hør om erfaringer og muligheder til hurtigt og nemt hele tiden at sikre, at der er styr på brugerrettighederne i hele din organisation- også uden at genere brugerne.

08. december 2022 | Læs mere