Daniël Hruska In oktober 2014 omzeilde een groep van zes onderzoekers met succes alle beveiligingsmechanismen van Apple om een app in de Mac App Store en de App Store te plaatsen. In de praktijk zouden ze kwaadaardige applicaties op Apple-apparaten kunnen krijgen die zeer waardevolle informatie zouden kunnen verkrijgen. Volgens een overeenkomst met Apple zou dit feit ongeveer zes maanden niet worden gepubliceerd, waaraan de onderzoekers zich hielden.
Zo nu en dan horen we over een beveiligingslek, elk systeem heeft ze, maar dit is echt een groot gat. Hiermee kan een aanvaller een app via beide App Stories pushen, waardoor het iCloud-sleutelhangerwachtwoord, de Mail-app en alle wachtwoorden die in Google Chrome zijn opgeslagen, kunnen worden gestolen.
[youtube id=”S1tDqSQDngE” breedte=”620″ hoogte=”350″]
Door deze fout kan malware een wachtwoord verkrijgen van vrijwel elke app, ongeacht of deze vooraf is geïnstalleerd of van derden is. De groep wist het sandboxing volledig te overwinnen en verkreeg zo gegevens van de meest gebruikte applicaties zoals Everenote of Facebook. De hele zaak wordt beschreven in het document "Ongeautoriseerde toegang tot bronnen tussen apps op MAC OS X en iOS".
Apple heeft niet publiekelijk gereageerd op de kwestie en heeft onderzoekers alleen om meer gedetailleerde informatie gevraagd. Hoewel Google de sleutelhangerintegratie heeft verwijderd, lost dit het probleem als zodanig niet op. De ontwikkelaars van 1Password hebben bevestigd dat ze de veiligheid van opgeslagen gegevens niet 100% kunnen garanderen. Zodra een aanvaller uw apparaat binnendringt, is het niet langer uw apparaat. Apple moet met een oplossing op systeemniveau komen.
Het is zeker een vergissing, maar het advies hangt af van de persoon, welke applicatie hij installeert.
en als ik applicaties installeer vanuit de ofiko App Store, waartoe ik toegang heb via de standaard "bladwijzers" van de iPhone, heb ik geen "gekraakt" iOS-systeem, het zal / heeft zelfs mijn kleine ding, ptm, in gevaar gebracht. mijn iPhone met iOS 8,3? Volgens het artikel heb ik het gevoel dat het zo is... En welke applicaties installeer ik? Van de "gratis" optie.
Het punt hier is dat deze malware-applicaties via de officiële weg in de App Store kunnen komen, en dat de gebruiker ze vervolgens downloadt in de veronderstelling dat ze in orde zijn als ze de inspectie van Apple hebben doorstaan. Het is dus beter om geen applicaties van onbekende ontwikkelaars te installeren. Zo begrijp ik het tenminste.
Precies zoals je zegt. Ik ben in ieder geval nogal verrast, als de informatie waar is, dat Apple er al meer dan een half jaar van op de hoogte zou zijn en er niets aan heeft gedaan.
Ik schat in dat Apple de controle in de App Store waarschijnlijk heeft aangevuld na ontvangst van de informatie, en het risico wat dit betreft is voor de iPhone/iPad minimaal.
Bij MAC hoeft het echter niet zo verwaarloosbaar te zijn, waar applicaties buiten de MacAppStore heel normaal worden geïnstalleerd.