‘iCloud Sleutelhanger en beveiliging van apps gekraakt’
· Laatst bijgewerkt:
Een groep beveiligingsonderzoekers van Indiana University beweert een aantal gevaarlijke kwetsbaarheden te hebben gevonden in iOS en OS X. Het zou hiermee mogelijk zijn om de iCloud Sleutelhanger te kraken, waardoor een hacker al je wachtwoorden kan bemachtigen. De zes onderzoekers zeggen daarnaast dat ze Apple’s sandbox hebben omzeild vanuit een app. De applicatie had hierdoor toegang tot data van andere applicaties, zonder dat de gebruiker hier toestemming voor had gegeven.
De kwetsbaarheden in iOS en OS X worden door de onderzoekers als volgt beschreven:
We ontdekten recent een paar verrassende zwakheden in de beveiliging van Apple’s Mac OS en iOS, waardoor kwaadwillende apps toegang kunnen krijgen tot gevoelige informatie in andere applicaties, zoals wachtwoorden en tokens voor iCloud, de Mail-app en alle wachtwoorden opgeslagen in Google Chrome.
Een malware-app van de onderzoekers werd goedgekeurd door Apple, aldus de onderzoekers. Deze app wist foto’s te stelen uit WeChat. Daarnaast werd er een wachtwoord voor Evernote ontfutseld vanuit de iCloud Sleutelhanger. Omdat de app werd goedgekeurd, lijkt het er op dat Apple deze malware niet makkelijk kan spotten tijdens het goedkeuringsproces.
https://www.youtube.com/watch?v=IYZkAIIzsIo
Apps van iOS zitten meestal opgesloten in een sandbox, waardoor ze niet bij gevoelige delen van je iPhone komen. Apps kunnen hierdoor ook weinig met elkaar communiceren, al breidt Apple de mogelijkheden wel uit met App Links in iOS 9. Deze sandbox lijkt nu echter doorbroken.
Apple werd in oktober vorig jaar op de hoogte gesteld van de kwetsbaarheden, waarna de onderzoekers in februari werden verzocht om nog niks te zeggen. Inmiddels is er een half jaar verstreken en heeft Apple het probleem nog niet opgelost. De onderzoekers hebben hun ontdekkingen daarom openbaar gemaakt.
Het probleem heeft grote gevolgen voor apps met gevoelige informatie. 1Password-ontwikkelaar AgileBits zegt dat zij geen manier hebben om misbruik van deze malware tegen te gaan. Google gaat voor de Chrome-browser maatregelen nemen door ondersteuning voor de iCloud Sleutelhanger te verwijderen.
https://twitter.com/tapbot_paul/status/611166729469693952
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Ook interessant
Mail-app kampt met problemen in iOS 18.3.2: dit is er aan de hand
Zo bepaal je zelf welke apps gebruikmaken van iCloud
Zo kun je creditcards opslaan in iCloud-sleutelhanger
Zo laat je de Wachtwoorden-app al je codes voor tweestapsverificatie genereren
Firefox-gebruikers kunnen nu snel inloggen met iCloud-sleutelhanger wachtwoorden (maar alleen op Mac)
Zo deel je mappen in iCloud Drive op iPhone, iPad en Mac
Beetje laks van Apple om dit nog niet gefixed te hebben. En een beetje jammer om dit nu de wereld in te helpen als het nog niet is opgelost.
Wat houdt dat nou concreet in. Kan men nu ook in 1 password komen cq kraken?
En kraakt men dat via google chrome?
Ja ***** lekker dit al me wachtwoorden liggen straks op straat en Apple doet er niks aan??? Veiligheid voorop zeggen ze altijd bla bla bla amateurs
@alibi: dat mag ik hopen van niet. Maar denk dat het er mee te maken heeft dat wanneer je 1password opend met je vinger afdruk, de wachtwoord word opgehaald uit de Sleutelhanger.
Ik weet niet zeker of dit zo werkt… Maar vermoed het wel.
Ik krijg die sleutelhanger niet aangezet op mijn devices. Apple weet ervan en zoekt al sinds 2 maanden naar een oplossing. Nu ik dit lees ben ik blij dat het uitstaat
Ik neem aan dat apple ondertussen wel een manier heeft om apps te weren uit App Store dit gebruik maken van deze lek. Zeker nu het naar buitengebracht is gaan ze hier extra goed op letten.
Ik zou het als developer ook niet proberen, want als ik Apple was zou ik direct de App Store account sluiten.
En wat Chrome doet, tja, beetje overdreven. Een eigen oplossing wil niet zeggen dat het veiliger is. Want er kan nog steeds informatie uit andere apps gejat worden.
In iOS 8.4 zit vast wel een oplossing of 8.3.1 als die nog komt
Laks van Apple? hmm denk dat beveiligers altijd als mosterd na de maaltijd komen, de vraag is meer hoe snel wordt het gat gefixed.
Fout dat dit in de wereld geholpen wordt? tja, zegt men niets dan zal het 9 van de 10 gevallen bij de beveiligers niet opvallen. Dus eigenlijk prima dat dit soort hacks ed gemeld worden, nu is het aan Apple bv om dit a.s.a.p. op te lossen.
Off topic# de beste kluis ben je zelf! bedenk een manier hoe je je passwords in elkaar gaat zetten, onthoud die ezelsbrug en je weet alles.
Even een kleine nuancering voor alle doemdenkers: je moet er dus wel eerst een app voor installeren die met malware in de appstore, in doorgedrongen. Als je tot het gefixt is extra kritisch bent met nieuwe app(update)s installeren is het risico tot vrijwel nul terug te brengen.
Dus voorlopig eventjes geen apps van obscure ontwikkelaars meer installeren 😃
Denk persoonlijk dat het risico van keyboards van derden groter is, als Apple’s reviewprocedure daarvan net zo lek is zou je daar keyloggers mee binnen kunnen halen…
@Ferryman: Tenzij een paar gemenerikken natuurlijk ergens al wat malware verspreid hebben…
Mijn ervaring: “De maker is de kraker.”
Als je dag in dag uit aan het zoeken bent kom je overal wel in.
Dat er een lek is okay maar dat ze het ook voor elkaar hebben gekregen om een app die hier gebruik van maakt In de Appstore te krijgen baart me nog de meeste zorgen.
Apple’s controle deugt dus niet en wie weet hoeveel troep er al in staat.
Tot zover dus het “veilige” iOS.
@Rado12: Vandaar “… is het risico tot vrijwel nul terug te brengen.” 😏
Apple is in oktober 2014 al op de hoogte gesteld, zoals te lezen valt. Onderzoekers die vervolgens 5 maanden later gevraagd zijn niets naar buiten te brengen, hebben nu wel lang genoeg gewacht. Het is nu aan Apple hier serieus aan te werken en dit z.s.m. op te lossen.
Als een app met malware al in de App Store terecht kan komen, dan kan men er van uitgaan dat Apple’s controle / beveiliging zo lek is als een rieten mandje.