Har stået pivåben i otte måneder: Først nu lappes sikkerhedshul i Apple Music til Android

Apple blev i august 2016 gjort opmærksom på, at det var muligt at udføre såkaldte man-in-the-middle-angreb på Android-udgaven af Apple Music. Først nu bliver sikkerhedshullet lukket.

I mere end otte måneder har Apple været bekendt med et betydeligt sikkerhedshul i streaming-tjenesten Apple Music, der gav hackere mulighed for at få adgang til brugernes data.

Men først med sidste uges store opdatering til version 2.0 er der blevet taget hånd om sårbarheden.

Sikkerhedseksperten David Coomber gjorde allerede 5. august 2016 Apple opmærksom på, at Android-udgaven af Apple Music ikke validerede de SSL-certifikater, applikationen modtog, når den etablerede forbindelse til login- og betalingsservere.

Dermed bliver det relativt let for en ondsindet hacker at påtage sig brugerens identitet overfor systemet.

"En hacker, der kan udføre man-in-the-middle-angreb, kan sende falske SSL-certifikater, som applikationen stiltiende accepterer. På den måde kan vedkommende få adgang til følsomme data, uden at brugeren at klar over det," skriver han i en redegørelse på sin hjemmeside.

Her oplyser han også, at Apple 16. August 2016 bekræftede, at de arbejdede på sagen, der altså først er blevet løst med opdateringen 4. April 2017.

Læs også: Apple efter hård kritik: Store ændringer på vej til Apple Music

Apple har ikke kommenteret på, hvorfor det har taget så lang tid at lukke hullet, men i et sikkerheds-opslag i forbindelse med opdateringen bekræfter virksomheden, at sårbareheden gav adgang til brugernes oplysninger.

"En angriber med priveligeret netværksadgang kan have haft adgang til følsomme brugeroplysninger," skriver Apple og understreger, at problemet nu er løst med forbedrede processer for certifikat-validering.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategiske it-sikkerhedsdage 2021

God it-sikkerhed er blevet en strategisk disciplin der kombinerer ledelse, adfærd, processer og teknologi. Men hvor lægger du niveauet? Hvad er vigtigt for forretningen og den drift? Hvad er knapt så vigtigt? Hvordan indtænker du it-sikkerheds-indsatsen strategisk? Hvad gør du, når skaden er sket? Bliv klogere på ”Strategiske it-sikkerhedsdage 2021: Trusler, tendenser og værktøjer”.

26. januar 2021 | Læs mere


Fuel your IT with the best-kept secret in IBM

It takes massive computing power to accurately calculate weather forecasts – and to secure that people and businesses are able to access detailed information about whether it is going to rain, shine, storm, or snow. In this seminar, you will have the chance to hear the British Met Office describe how they do exactly that.

28. januar 2021 | Læs mere


Sandheden om Schrems II – erhvervslivets nye Cuba-krise

Konsekvenserne af Schrems II kan meget vel gå hen og blive en af de største udfordringer for danske virksomheder i 2021. Så tjek ind på denne onlinebriefing, hvor den hemmelige Schrems II gæst, ComplyCloud og Datatilsynet giver dig indsigt i, hvad dommen i virkeligheden handler om, og hvilke menneskelige hensyn der ligger bag.

29. januar 2021 | Læs mere






Premium
Test: Kæmpestort gaming-headset er perfekt til dine lange Teams-møder - men har også nogle besværligheder
Længe før vi andre blev slået hjem til hjemmekontorets endeløse webmøder har gamerne gennemskuet behovet for komfortabelt grej. Så vi tog danske EPOS top gamingheadset med på arbejde. Læs testen her.
Computerworld
Biden sender skjult besked til kode-folket: "Hvis du læser dette, har vi brug for din hjælp”
En stående invitation er blevet opdaget i kildekoden på Det Hvide Hus' hjemmeside. Men den er kun til de eksperter, der selv kan finde den.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
White paper
Sådan outsourcer du effektivt – og undgår fælderne
Nogle outsourcer for at minimere omkostningsniveauet, andre for at skaffe ressourcer og spidskompetencer, der er svære at skaffe lokalt – eller af en helt tredje årsag. Der er dog talrige forhold, der er gode at afdække, før man overhovedet begynder at lede en outsourcingudbyder. Man skal klarlægge egne projektbehov samt de spørgsmål og krav, man vil stille samt indsamle viden og erfaringer om, hvordan samarbejdet indledes, drives og styres optimalt. Dertil skal man kende til de hyppigste faldgruber, der kan få et ellers lovende outsourcingsamarbejde til at køre i grøften.