Onderzoekers van drie universiteiten hebben een groot lek gevonden in zowel iOS als Mac OS X waarmee het mogelijk is om wachtwoorden van de gebruiker uit Apple’s keychain te stelen. Een zeer kritisch lek dat het mogelijk maakt uit de sandbox te breken en ook data van andere apps te stelen.
De onderzoekers afkomstig van de Georgia Institute of Technology, Indiana University en Peking University schrijven in hun rapport dat het lek in zowel het mobiele- als desktop-besturingssysteem van Apple aanwezig is en dat het voor kwaadwillende mogelijk is om data van andere apps te stelen maar ook tokens uit de keychain van Apple. Het is daarmee mogelijk om volledig uit de sandbox te breken die Apple rond elke app optrekt om de beveiliging te optimaliseren.
Een token uit een keychain kan eenvoudig worden hergebruikt om vervolgens in te loggen op de diensten waar de token bij hoort.
De onderzoekers hebben ook enkele apps ontwikkeld die misbruik maken van het beveiligingslek en deze ingediend in de App Store, deze apps werden door Apple gewoon goedgekeurd en toegevoegd aan de applicatiewinkels. Apps die eventueel echt misbruik willen maken van het lek komen dus gewoon door Apple’s controles heen.
De onderzoekers hebben het lek in oktober vorig jaar bij Apple gemeld, waarna het bedrijf uit Cupertino vroeg om een periode van zes maanden om het lek te dichten. Inmiddels zijn we al 9 maanden verder en is het lek nog steeds in beide besturingssystemen aanwezig. Ze hebben ook geen verzoek van Apple ontvangen om de publicatie verder uit te stellen.
Door het rapport nu te publiceren zal de druk op Apple worden opgevoerd om op zeer korte termijn met een patch te komen. In het verleden is het al vaker voorgekomen dat Apple laks was met het patchen van beveiligingsproblemen in het zijn besturingssystemen.
3 uur geleden
