Eine große Sicherheitslücke, die von einer amerikanischen Universität entdeckt und von Apple bestätigt wurde, ermöglicht den Diebstahl von Passwörtern direkt aus den Anwendungen, wobei das Schlüsselbundsystem des Apple-Unternehmens zum ersten Mal gebrochen wurde, um diese Diebstähle durchzuführen.
Forscher des Indiana Institute of Technology machten die Entdeckung und behaupten, dass iOS oder OS Parteien.
Die bestehende Schwachstelle in den beiden Betriebssystemen scheint von Apple, Google und anderen Unternehmen mit Anwendungen im App Store bestätigt worden zu sein, denn Facebook, Evernote, native iOS-Anwendungen und viele andere Dritte können diese Schwachstelle ausnutzen.
Den Forschern gelang es, den Schlüsselbund zu knacken, der die Passwörter für die Anwendungen speichert, aber auch das Kommunikationssystem zwischen den iOS- oder OS
Wir haben den Schlüsselbunddienst – der zum Speichern von Passwörtern und anderen Anmeldeinformationen für verschiedene Apple-Apps verwendet wird – und Sandbox-Container unter OS Daten von Evernote, Facebook und anderen hochkarätigen Apps
Apple ist seit Oktober auf dieses Problem aufmerksam gemacht worden und hat darum gebeten, iOS und OS
Den Forschern ist es sogar gelungen, im App Store eine Anwendung mit Malware zu veröffentlichen, die das Ausnutzen der Sicherheitslücke ermöglicht, sodass Apple die Anwendungen nicht einmal auf ihre Existenz überprüft und jeder problemlos von Hackern kompromittiert werden kann.
Forschern zufolge sind 90 % der Anwendungen für iOS und OS
Die Entwickler von 1Password, dem vielleicht beliebtesten Datensicherheits- und Passwortspeichersystem, behaupten, dass es keine Methoden gibt, um Benutzer vor dieser Art von Angriffen zu schützen, und haben daher beschlossen, die Schlüsselbundintegration vollständig aus Google Chrome zu entfernen.
Weiteren Erklärungen zufolge löscht die Schadsoftware offenbar nur die Daten und Passworteinträge aus dem Schlüsselbund und zwingt den Nutzer zur erneuten Eingabe, erst dann werden die Daten kopiert und an die Hacker übermittelt, sodass die vorhandenen Daten theoretisch nicht kompromittiert werden.
Die Folgen solcher Angriffe sind verheerend und führen dazu, dass die sensibelsten Benutzerinformationen (z. B. Passwörter) vollständig an eine bösartige App weitergegeben werden, selbst wenn diese in einer Sandbox ist. Solche Erkenntnisse […] sind nur die Spitze des Eisbergs.
Das Schlimmste an einem solchen Angriff ist, dass er sowohl normale Anwendungen als auch die Anwendungen von Banken und anderen Finanzinstituten betrifft, sodass jede Art von Daten von Hackern kompromittiert werden kann, um sie zu stehlen.
Da iOS 9 ermöglicht die Installation von Anwendungen von außerhalb des App Stores, wird es noch komplizierter.
