Eksperter fra «Indiana University» og «Georgia Institute of Technology» har funnet store sikkerhetshull i OS X og iOS. Hullene skal være bekreftet av Apple.
Svært alvorlig
Ifølge teamet fikk selskapet vite om hullene i oktober i fjor. Apple skal også den gang ha bekreftet at de skjønte hvor alvorlig hullene var.
Apple ga deretter seg selv seks måneder på å rette hullet – om det ikke var tettet innen den tid, forklarte de, så kunne sikkerhetsforskerne avsløre hullene.
Ikke tettet
I februar ba Apple om dokumentasjon fra forskerne, men hullene er fortsatt der i nyeste stabile versjon av iOS og OS X.
Annonse
Feilen gjør det mulig for hackere, takket være en farlig app, å stjele passord fra Apples passord-bank-tjeneste Keychain, såvel som fra Apple- og tredjeparts-apper.
Riktignok ser det ikke ut til at hacker-appen kan lure seg inn i Keychain automatisk. Istedet ser det ut til at hackerne vil måtte lure passord-ofrene til å logge seg inn manuelt, og på den måten snappe opp brukernavn og passord.
Lastet opp hacker-app
Og vet du hva det skumleste er? De samme ekspertene lastet opp hacker-appen til iOS og Mac App Store og begge appene ble godkjent av Apple.
Teamet skal ha testet hullet i en rekke iOS og Mac-apper, og fant ut at nesten 90 prosent av appene var helt åpne for angrepstypen. Dette gjør det mulig for hacker-appen å hente ut passord.
Selv passord-behandlere er ikke trygge
Utvikleren av 1Password-appen til iOS forklarer at de ikke kan se noen måte å sikre seg mot hullet på.
Samtidig forklarer Googles Chromium-sikkerhetsteam sier det vil være umulig å sikre seg mot angrepet på app-nivå. Derfor har de nå fjernet Keychain-integrasjon i Chrome.
Apple har fått føle det på kroppen i det sist hva angår sikkerhetsproblemer, men dette høres ut som den desidert farligste hullet på veldig lenge, om ikke i selskapets historie.
Kilde:
9to5mac
Annonse