.



Ernstig iOS en OS X-lek maakt diefstal van wachtwoorden uit apps mogelijk

iphone-6-plus

Een groep onderzoekers heeft een ernstig beveiligingsgat gevonden in Apple’s besturingssystemen iOS en OS X. De onderzoekers zijn erin geslaagd een malafide app in de App Store te krijgen en via deze app gevoelige informatie uit andere geïnstalleerde apps te stelen. Denk hierbij aan wachtwoorden.

De onderzoeksgroep beschrijft in een whitepaper dat de fout zit in de wijze waarop Apple apps met elkaar laat communiceren. Het beveiligingsgat is al enige tijd geleden door de onderzoekers ontdekt. Tegenover The Register melden de onderzoekers door Apple gevraagd te zijn het lek zes maanden stil te houden zodat het probleem kan worden opgelost. Deze periode is inmiddels verlopen, maar het gat is nog steeds aanwezig in zowel iOS als OS X. De onderzoeksgroep maakt het lek daarom nu openbaar.

Eigen sandbox

Apple isoleert iedere app in een eigen sandbox, wat moet voorkomen dat apps toegang kunnen krijgen tot elkaar informatie. De onderzoekers zijn er echter in geslaagd deze beveiligingsmaatregel te omzeilen en toch toegang te krijgen tot informatie uit andere apps. Dit noemen de onderzoekers ‘unauthorized cross-app resource access’ (XARA).

De onderzoekers hebben hun methode getest met een speciaal ontworpen malafide app, die zij met succes in de App Store voor zowel OS X als iOS hebben weten te krijgen. Via deze app wisten zij vervolgens op een iPhone van een onderzoeker toegang te krijgen tot informatie uit andere apps die op de smartphone geïnstalleerd vonden. Het probleem is vervolgens getest met een grote selectie van apps. Van maar liefst 88,6% van deze apps blijkt het mogelijk via deze methode gevoelige informatie in handen te krijgen. Het zou onder andere gaan om de wachtwoordmanager 1Password en webbrowser Google Chrome.

XARA

XARA is overigens niet nieuw. Het probleem bestaat al langer op het mobiele besturingssysteem Android. Over het bestaan van een dergelijk beveiligingsgat op iOS of OS X was echter nog niets bekend. Nu blijkt dat beide besturingssystemen van Apple dus ook een dergelijk kritiek lek bevatten.

Meer over
Lees ook
Commvault ziet bedrijven nieuwe eisen stellen aan datamanagement en security

Commvault ziet bedrijven nieuwe eisen stellen aan datamanagement en security

Commvault zet zes opkomende klantbehoeften op een rij, waar CIO’s en ICT- en businessmanagers mee te maken hebben. Zij staan voor de uitdagingen van snel veranderende technologie, steeds minder resources en de steeds toenemende hoeveelheden data. Commvault somt ook de basisprincipes van modern datamanagement op: de minimumeisen voor een moderne, h1

'Certificaatautoriteiten besteden te weinig aandacht aan mogelijk misbruik van uitgegeven SSL-certificaten'

'Certificaatautoriteiten besteden te weinig aandacht aan mogelijk misbruik van uitgegeven SSL-certificaten'

Certificaatautoriteiten (CA’s) hebben in een maand tijd honderden SSL-certificaten uitgegeven voor valse domeinnamen die worden gebruikt in phishingaanvallen. Door de SSL-certificaten worden de phishingwebsites voorzien van een slotje voor de URL in de adresbalk, waar veel gebruikers opletten om te controleren om een website veilig is. Kevin Bocek1

Eerste Europese Security Operations Center van F5 geopend

Eerste Europese Security Operations Center van F5 geopend

F5 Networks opent een Security Operations Center (SOC) in Warschau, Polen om de EMEA-regio te voorzien van realtime monitoring op wereldwijde, meerlaagse internetbedreigingen. Het is het eerste centrum in Europa. Naast het centrum in het Amerikaanse Seattle is het nieuwe centrum in Warschau wereldwijd het tweede security-centrum van F5. Het SOC ma1