I oktober 2014 klarte en gruppe på seks forskere å omgå alle Apples sikkerhetsmekanismer for å plassere en app på Mac App Store og App Store. I praksis kunne de få ondsinnede applikasjoner inn i Apple-enheter som ville kunne få svært verdifull informasjon. I følge en avtale med Apple skulle dette faktum ikke publiseres før rundt seks måneder, noe forskerne etterkom.
Nå og da hører vi om et sikkerhetshull, alle systemer har dem, men denne er virkelig stor. Det lar en angriper presse en app gjennom både App Stories som kan stjele iCloud Keychain-passordet, Mail-appen og alle passord som er lagret i Google Chrome.
[youtube id=”S1tDqSQDngE” width=”620″ høyde=”350″]
Feilen kan tillate skadelig programvare å få et passord fra praktisk talt hvilken som helst app, enten den er forhåndsinstallert eller tredjepart. Gruppen klarte å overvinne sandboxing fullstendig og fikk dermed data fra de mest brukte applikasjonene som Everenote eller Facebook. Hele saken er beskrevet i dokumentet "Uautorisert ressurstilgang på tvers av apper på MAC OS X og iOS".
Apple har ikke kommentert saken offentlig og har kun bedt om mer detaljert informasjon fra forskere. Selv om Google fjernet nøkkelringintegrasjonen, løser det ikke problemet som sådan. Utviklerne av 1Password har bekreftet at de ikke 100% kan garantere sikkerheten til lagrede data. Når en angriper kommer inn i enheten din, er det ikke lenger enheten din. Apple må komme med en løsning på systemnivå.
Det er definitivt en feil, men rådene avhenger av personen, hvilken applikasjon han installerer..
og hvis jeg installerer programmer fra ofiko App Store, som jeg får tilgang til fra standard "bokmerker" på iPhone, har jeg ikke noe "sprukket" iOS-system, det vil/har satt selv min lille ting i fare, ptm. min iPhone med iOS 8,3? I følge artikkelen har jeg følelsen av at det er... Og hvilke applikasjoner installerer jeg? Fra "gratis"-alternativet.
Poenget her er at disse skadevareapplikasjonene kan komme inn i App Store på den offisielle måten, og brukeren laster dem ned og tenker at de har det bra når de har bestått Apples inspeksjon. Så det er bedre å ikke installere applikasjoner fra ukjente utviklere. Det er i hvert fall slik jeg forstår det.
Akkurat som du sier. Uansett er jeg ganske overrasket, hvis informasjonen er sann, at Apple angivelig har visst om det i over et halvt år og ikke har gjort noe med det.
Jeg anslår at Apple sannsynligvis har supplert kontrollen i App Store etter å ha mottatt informasjonen, og risikoen i denne forbindelse er minimal for iPhone/iPad.
Det trenger imidlertid ikke være så ubetydelig med MAC, hvor applikasjoner utenfor MacAppStore er installert ganske normalt.