Allvarligt säkerhetshål exponerar lösenord

Allvarliga säkerhetsluckor i OS X och IOS gör att illasinnade kan stjäla information i nyckelringen och lösenord till appar.

Sex forskare från Indiana University och Georgia Institute of Technology har publicerat en uppsats där de dokumenterar allvarliga säkerhetshål i Apples operativsystem IOS och OS X. Detta kan låta inkräktare stjäla information från systemens nyckelring och lösenord till appar, både Apples egna och från tredje part.

En av forskarna är Luyi Xing, som berättar om problemen för The Register:

"Nyligen upptäckte vi en serie överraskande säkerhetsluckor i Apples Mac OS och IOS som låter en skadlig app få obehörigt tillträde till andra appars känsliga data så som lösenord och tokens för Icloud, Mail-appen och alla webblösenord som sparas av Google Chrome."

Forskarna har lyckats ladda upp appar som innehåller skadlig programvara, så kallad malware, till Apples egen butik Mac App Store. När programvaran installerats på en användares Mac kan den användas för att stjäla information i nyckelringen så som lösenord till bland annat Icloud och appen Mail.

Forskarlaget uppger att de kontaktade Apple angående detta redan i oktober förra året. Apple ska ha svarat och bett om sex månader för att åtgärda problemen innan uppsatsen publicerades. I februari bad Apple om en förhandskopia av uppsatsen, men fortfarande finns säkerhetshålen kvar. Ungefär 88 procent av 1 612 appar för OS X och 200 IOS-appar fanns vara "helt exponerade" för otillåten åtkomst från den illasinnade appen. Xing säger:

"Vår elaka app gick framgångsrikt igenom Apples granskningsprocess och publicerades på både Apples Mac App Store och IOS App Store. Vi knäckte hela nyckelring-tjänsten som används för att lagra lösenord och andra uppgifter för olika Apple-appar – och sandbox-behållare på OS X, och identifierade nya svagheter i kommunikationen mellan appar på OS X och IOS som kan användas för att stjäla konfidentiella data från Evernote, Facebook och andra högprofilerade appar."

Googles säkerhetsgrupp för webbläsaren Chrome har också kontaktats av forskarna, som svarade med att ta bort appens integration med nyckelringen i OS X. Agilebits, utvecklarna bakom appen 1password uppger i ett blogginlägg att de inte lyckats hitta något tillförlitligt sätt att skydda sin app mot liknande attacker. Agilebits understryker dock att attacken inte ger full tillgång till data i 1password, men däremot till lösenord som skickas från en webbläsare till tillägget 1password Mini.

Apple har ännu inte uttalat sig officiellt om problemen. Tills vidare rekommenderas vaksamhet över vilka appar som installeras på sina egna enheter, även sådana som laddas hem från Apples app-butiker. Det är också en bra praxis att inte spara särskilt känslig information, så som inloggning till banker, i webbläsaren eller lösenordshanterare.