I oktober 2014 lykkedes det for en gruppe på seks forskere at omgå alle Apples sikkerhedsmekanismer for at placere en app i Mac App Store og App Store. I praksis kunne de få ondsindede applikationer ind i Apple-enheder, der ville være i stand til at få meget værdifuld information. Ifølge en aftale med Apple skulle dette faktum først offentliggøres i omkring seks måneder, hvilket forskerne overholdt.
Nu og da hører vi om et sikkerhedshul, alle systemer har dem, men det her er et rigtig stort et. Det giver en hacker mulighed for at skubbe en app gennem både App Stories, der kan stjæle iCloud Keychain-adgangskoden, Mail-appen og alle adgangskoder, der er gemt i Google Chrome.
[youtube id=”S1tDqSQDngE” width=”620″ højde=”350″]
Fejlen kan tillade malware at få en adgangskode fra stort set enhver app, uanset om den er forudinstalleret eller tredjepart. Gruppen formåede fuldstændig at overvinde sandboxing og opnåede dermed data fra de mest brugte applikationer som Everenote eller Facebook. Hele sagen er beskrevet i dokumentet "Uautoriseret adgang til ressourcer på tværs af apps på MAC OS X og iOS".
Apple har ikke kommenteret offentligt på sagen og har kun anmodet om mere detaljerede oplysninger fra forskere. Selvom Google fjernede nøgleringsintegrationen, løser det ikke problemet som sådan. Udviklerne af 1Password har bekræftet, at de ikke 100% kan garantere sikkerheden af lagrede data. Når først en angriber kommer ind på din enhed, er det ikke længere din enhed. Apple skal komme med en rettelse på systemniveau.
Det er bestemt en fejl, men rådene afhænger af personen, hvilken applikation han installerer..
og hvis jeg installerer programmer fra ofiko App Store, som jeg får adgang til fra standard "bogmærker" på iPhone, har jeg ikke noget "knækket" iOS system, det vil/har truet selv min lille ting, ptm. min iPhone med iOS 8,3? Ifølge artiklen har jeg på fornemmelsen, at det er... Og hvilke applikationer installerer jeg? Fra "gratis" mulighed.
Pointen her er, at disse malware-applikationer kan komme ind i App Store via den officielle måde, og brugeren downloader dem derefter og tænker, at de har det fint, når de har bestået Apples inspektion. Så det er bedre ikke at installere applikationer fra ukendte udviklere. Sådan forstår jeg det i hvert fald.
Præcis som du siger. I hvert fald er jeg ret overrasket, hvis oplysningerne er sande, at Apple angiveligt har kendt til det i over et halvt år og ikke har gjort noget ved det.
Jeg vurderer, at Apple formentlig har suppleret kontrollen i App Store efter at have modtaget informationen, og risikoen i den forbindelse er minimal for iPhone/iPad.
Det behøver dog ikke at være så ubetydeligt med MAC, hvor programmer uden for MacAppStore installeres ganske normalt.