Sikkerhetsforskere har funnet store sikkerhetsproblemer i OS X og iOS. Så godt som alt av personlig informasjon på disse enhetene kan stå i fare om ikke hullet tettes. (Bilde: Shutterstock.com)

Apple ble varslet om digert sikkerhetshull – valgte å ikke gjøre noe

Et halvt år senere kan utviklere fortsatt stikke av med passord, bilder og annet innhold på iPhone-en eller Macen din.

Når det dukker opp nye sikkerhetshull er det relativt vanlig praksis at de som har oppdaget hullet kontakter den som har ansvar for å tette det. Ofte innebærer dette en avtale om å holde fremgangsmåten hemmelig i en viss periode, til hullet kan tettes.

The Register melder om seks forskere som gjorde akkurat dette, da de oppdaget et enormt sikkerhetshull i iOS og OS X. Apple ble kontaktet, og skal ha bedt forskerne om å holde tett i et halvt år. Det gjorde de, men da de seks månedene utløp hadde forskerne fortsatt ikke hørt fra Apple. Sikkerhetshullene eksisterer også fortsatt på Apples Macer, iPader og iPhoner.

Kan stikke av med bilder, passord og mye mer

Det er heller ikke hvilke som helst sikkerhetshull det er snakk om, men potensielt ganske alvorlige trusler. For eksempel skal det være mulig å bryte seg inn der iCloud lagrer nettpassordene dine. Hullet kan også benyttes av apper som ønsker å få tilgang på data fra utenfor sin begrensede sfære. Apper i iOS kjøres i en såkalt sandkasse, der den kun får tilgang på innholdet i sin kasse, og svært begrenset innhold utenfra. Denne trusselen kan altså la ondsinnede utviklere bryte ned denne barrieren, og hente inn data fra andre apper og funksjoner på telefonen.

Hullet skal dessuten tillate utviklere å laste opp apper som ikke blir avslørt som ondsinnede av App Store.

Summen av dette kan bety store mengder personlig informasjon på avveie, med både passordene fra nøkkelringen, multimedieinnhold fra andre apper og kontaktlisten på telefonen som mulige mål.

Sårbare tjenester

Ved siden av å dokumentere hullene overfor Apple, har forskerne laget en del videosnutter som viser hvordan angrepet kan foregå, og hva den ondsinnede programvaren får med seg.

Også appen som informasjonen skal stjeles fra må være sårbar for at angrepet skal fungere, men forskerne har funnet ut at 88,6 prosent av appene som kjører på OS X var sårbare for angrepet. Forskerne har ikke gått like generelt til verks for iOS, men funnet 200 spesifikke apper som var vidåpne for uthenting av data via sikkerhetshullet. Blant dem WeChat, Evernote og Facebook.

Apple begrenser altså kommunikasjonen mellom slike apper ganske kraftig, men feilen skal ifølge forskerne ligge i systemene som tross alt finnes for utveksling av data mellom ulike apper.

Ble rapportert i oktober i fjor

Så langt har Apple altså bedt om seks måneder til å rydde opp i feilen som ble rapportert i oktober i fjor. I februar ble forskerne bedt om en tidlig utgave av forskningsrapporten. Apple har foreløpig ikke sagt noe mer om saken, hverken til forskerne eller til The Register. Selskapet har heller ikke besvart henvendelser fra Tek.no.

Google på sin side har fjernet integrasjonen mot iCloud for sin Chrome-nettleser, ettersom de mener at sårbarheten neppe lar seg løse på appnivå. Hvorvidt de nyeste utgavene av iOS og OS X er rammet er foreløpig ukjent. Begge ble lansert mandag i forrige uke.

Les sniktitten på Apples nye iOS 9 her »

Her demonstrerer utviklerne hvordan innholdet i Evernote-appen for OS X kan hentes ut via sårbarheten.

(Kilde: theregister.co.uk)

Kommentarer (5)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen