Apple heeft een nieuwe versie van het iOS-besturingssysteem voor iPhone en iPad uitgebracht waarmee het 27 beveiligingslekken verhelpt. Via 20 lekken in de Webkit engine was het mogelijk om willekeurige code uit te voeren. Deze kwetsbaarheden werden voornamelijk door Google ontdekt, dat Webkit voor Google Chrome gebruikt. Verder zijn in iOS 6.1 valse certificaten van TurkTrust ingetrokken.
De Turkse SSL-verstrekker had een frauduleus certificaat uitgegeven waarmee het mogelijk was om versleuteld verkeer naar *.google.com domeinen af te luisteren. Eerder werd het certificaat al door Google in Chrome, door Microsoft in Internet Explorer en Mozilla in Firefox ingetrokken.
Wachtwoord
Een andere opmerkelijke aanpassing is het instellen van drie vragen en bijbehorende antwoorden, alsmede een optioneel e-mailadres, om het wachtwoord van Apple iCloud-account te resetten. Apple vraagt deze gegevens zodra gebruikers na het upgraden naar iOS 6.1 hun apparaat willen activeren en deze drie resetvragen nog niet zijn ingesteld.
In het verleden gebruikte Apple een gedeelte van het creditcardnummer om het wachtwoord te resetten, wat eenvoudig te omzeilen bleek. Zo wisten aanvallers op deze manier het iCloud-account van IT-journalist Mat Honan te hacken. Vervolgens werden zijn Macbook, iPad en iPhone gewist.
"Op dit moment biedt Apple nog geen twee-factor authenticatie aan zoals Google. Apple heeft een fantastische mogelijkheid om met iets fantastisch en unieks op dit gebied te komen, waarbij het de eigen hardware als een platform voor innovatieve twee-factor authenticatietechniek gebruikt", aldus Johannes Ullrich van het Internet Storm Center.
Deze posting is gelocked. Reageren is niet meer mogelijk.