26.06.2015 15:33

Kwetsbaarheid in OSX en iOS


In de media zijn diverse berichten verschenen waarin gesuggereerd wordt dat wachtwoorden in iCloud-sleutelhangers eenvoudig te stelen zijn door een ernstig lek [1,2].

De basis voor de berichtgeving is een paper gepubliceerd door de Indiana University en de Georgia Institute of Technology [3].

In het onderzoek is gekeken naar communicatie tussen verschillende applicaties op het OSX- en iOS-platform, zogenaamde interprocess communicatie (IPC). De onderzoekers hebben een kwetsbaarheid gevonden waardoor een malafide applicatie zonder beheerrechten communicatie tussen processen kan onderscheppen. Eén van de gevolgen is dat een malafide applicatie communicatie tussen een legitieme applicatie en de sleutelhangerservice kan onderscheppen en hiermee wachtwoorden van gebruikers kan opvangen. De sleutelhangerservice is een dienst in OSX en iOS die door verschillende applicaties wordt gebruikt voor het opslaan van wachtwoorden en andere gevoelige informatie.

Advies

De IBD adviseert eindgebruikers om alleen software afkomstig van vertrouwde uitgevers te installeren. De kwetsbaarheid is namelijk alleen te misbruiken wanneer een malafide applicatie geïnstalleerd is op het apparaat van de gebruiker. Actief misbruik van deze kwetsbaarheid is nog niet waargenomen.

Apple heeft aangegeven te werken aan een oplossing. Zodra updates beschikbaar zijn zullen we dat middels een kwetsbaarheidswaarschuwing uitgeven.

[1] http://nos.nl/artikel/2041956-wachtwoorden-icloud-eenvoudig-te-stelen.html
[2] http://www.nu.nl/internet/4070418/wachtwoorden-in-icloud-sleutelhanger-stelen-ernstig-lek-.html
[3] https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view

 

Zie ook:


Webdesign, webdevelopment by: Concreet geeft vorm | Design Valley