Een grote kwetsbaarheid ontdekt door een Amerikaanse universiteit en bevestigd door Apple maakt de diefstal van wachtwoorden rechtstreeks vanuit de applicaties mogelijk, waarbij voor het eerst het sleutelhangersysteem van het Apple-bedrijf wordt verbroken om deze diefstallen uit te voeren.
Onderzoekers van het Indiana Institute of Technology hebben de ontdekking gedaan en beweren dat iOS of OS X kwetsbaar zijn. Ze kunnen worden uitgebuit met behulp van een applicatie die moet worden geopend in iDevice/Macs om het sleutelhangersysteem te misbruiken en wachtwoorden te stelen van native of derde applicaties. partijen.
De bestaande kwetsbaarheid in de twee besturingssystemen lijkt te zijn bevestigd door Apple, Google en andere bedrijven met applicaties in de App Store, omdat Facebook, Evernote, native iOS-applicaties en vele andere derde partijen via deze kwetsbaarheid kunnen worden misbruikt.
De onderzoekers slaagden erin de sleutelhanger, waarin de wachtwoorden voor de applicaties zijn opgeslagen, maar ook het communicatiesysteem tussen de iOS- of OS X-applicaties te kraken, zodat de gegevensoverdracht daartussen kan worden onderschept om wachtwoorden of andere vertrouwelijke informatie te achterhalen.
We hebben de sleutelhangerservice – die wordt gebruikt om wachtwoorden en andere inloggegevens voor verschillende Apple-apps op te slaan – en sandbox-containers op OS X volledig gekraakt, en hebben ook nieuwe zwakke punten geïdentificeerd in de communicatiemechanismen tussen apps op OS X en iOS die kunnen worden gebruikt om vertrouwelijke informatie te stelen gegevens van Evernote, Facebook en andere spraakmakende apps
Apple is al sinds oktober op de hoogte van dit probleem. Apple vroeg zes maanden om iOS en OS X te beveiligen voordat deze informatie wordt gepubliceerd, maar tot nu toe heeft het absoluut niets gedaan om de problemen van de openbare versies van iOS en OS X op te lossen.
De onderzoekers zijn er zelfs in geslaagd om in de App Store een applicatie met malware te publiceren waarmee misbruik kan worden gemaakt van de kwetsbaarheid, waardoor Apple de applicaties niet eens controleert op het bestaan ervan en iedereen zonder problemen door hackers kan worden gecompromitteerd.
Volgens onderzoekers wordt 90% van de applicaties voor iOS en OS X blootgesteld aan malware. We hebben het dus over ruim 1 miljoen applicaties die kunnen worden geïnstalleerd en waaruit wachtwoorden of vele andere gegevens kunnen worden gestolen.
De ontwikkelaars van 1Password, misschien wel het meest populaire systeem voor gegevensbeveiliging en wachtwoordopslag, beweren dat er geen methoden zijn om gebruikers tegen dit soort aanvallen te beschermen, waarbij Google de beslissing heeft genomen om de Keychain-integratie volledig uit Google Chrome te verwijderen.
Volgens aanvullende verklaringen lijkt het erop dat de malware alleen gegevens en wachtwoordgegevens uit de sleutelhanger verwijdert, waardoor gebruikers worden gedwongen deze opnieuw in te voeren. Pas daarna worden de gegevens gekopieerd en naar de hackers verzonden, zodat de bestaande gegevens theoretisch niet in gevaar komen.
De gevolgen van dergelijke aanvallen zijn verwoestend en leiden tot volledige openbaarmaking van de meest gevoelige gebruikersinformatie (bijvoorbeeld wachtwoorden) aan een kwaadaardige app, zelfs als deze in een sandbox staat. Dergelijke bevindingen […] zijn slechts een topje van de ijsberg.
Het ergste van een dergelijke aanval is dat deze zowel de normale applicaties als de applicaties van banken en andere financiële instellingen treft, zodat elke vorm van gegevens door hackers kan worden gecompromitteerd om deze te stelen.
Aangezien iOS 9 maakt de installatie van applicaties van buiten de App Store mogelijk, worden de zaken nog ingewikkelder.
