iCloud Keychain

‘iCloud Sleutelhanger en beveiliging van apps gekraakt’

Beveiligingsonderzoekers hebben de 'sanbox' van de App Store gekraakt, waardoor apps bij gegevens uit andere apps kunnen. Dat niet alleen: de iCloud-sleutelhanger is ook in gevaar.
Bastiaan Vroegop - · Laatst bijgewerkt:

iCloud KeychainEen groep beveiligingsonderzoekers van Indiana University beweert een aantal gevaarlijke kwetsbaarheden te hebben gevonden in iOS en OS X. Het zou hiermee mogelijk zijn om de iCloud Sleutelhanger te kraken, waardoor een hacker al je wachtwoorden kan bemachtigen. De zes onderzoekers zeggen daarnaast dat ze Apple’s sandbox hebben omzeild vanuit een app. De applicatie had hierdoor toegang tot data van andere applicaties, zonder dat de gebruiker hier toestemming voor had gegeven.

De kwetsbaarheden in iOS en OS X worden door de onderzoekers als volgt beschreven:

We ontdekten recent een paar verrassende zwakheden in de beveiliging van Apple’s Mac OS en iOS, waardoor kwaadwillende apps toegang kunnen krijgen tot gevoelige informatie in andere applicaties, zoals wachtwoorden en tokens voor iCloud, de Mail-app en alle wachtwoorden opgeslagen in Google Chrome.

Een malware-app van de onderzoekers werd goedgekeurd door Apple, aldus de onderzoekers. Deze app wist foto’s te stelen uit WeChat. Daarnaast werd er een wachtwoord voor Evernote ontfutseld vanuit de iCloud Sleutelhanger. Omdat de app werd goedgekeurd, lijkt het er op dat Apple deze malware niet makkelijk kan spotten tijdens het goedkeuringsproces.

Apps van iOS zitten meestal opgesloten in een sandbox, waardoor ze niet bij gevoelige delen van je iPhone komen. Apps kunnen hierdoor ook weinig met elkaar communiceren, al breidt Apple de mogelijkheden wel uit met App Links in iOS 9. Deze sandbox lijkt nu echter doorbroken.

Apple werd in oktober vorig jaar op de hoogte gesteld van de kwetsbaarheden, waarna de onderzoekers in februari werden verzocht om nog niks te zeggen. Inmiddels is er een half jaar verstreken en heeft Apple het probleem nog niet opgelost. De onderzoekers hebben hun ontdekkingen daarom openbaar gemaakt.

Het probleem heeft grote gevolgen voor apps met gevoelige informatie. 1Password-ontwikkelaar AgileBits zegt dat zij geen manier hebben om misbruik van deze malware tegen te gaan. Google gaat voor de Chrome-browser maatregelen nemen door ondersteuning voor de iCloud Sleutelhanger te verwijderen.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 27 februari 2018, 13:55
Categorieën iOS, Mac & macOS
Onderwerp icloud sleutelhanger

Reacties zijn gesloten voor dit artikel.