Onderzoekers van de Indiana University zijn erin geslaagd om malware voor Mac OS X en iOS in de App Stores van Apple te krijgen waarmee toegang tot gevoelige gegevens van andere apps kan worden verkregen. Het gaat bijvoorbeeld om wachtwoorden voor iCloud, het standaard e-mailprogramma en internetbankieren en het geheime token voor het notitieprogramma Evernote.
Verder bleek dat het ontwerp van de app-sandbox op Mac OS X kwetsbaar was, waardoor de malware de privédirectory van apps kon benaderen. De malware kon zo ook toegang krijgen tot notities en contacten die in Evernote waren opgeslagen, alsmede foto's van WeChat. De onderzoekers publiceerden hun werk eind mei in een rapport (pdf) genaamd "Unauthorized Cross-App Resource Access on MAC OS X and iOS". Om te voorkomen dat apps toegang tot elkaars informatie krijgen passen besturingssystemen "app isolatie" toe, waarbij elke app in zijn eigen sandbox zit.
Het blijkt in sommige gevallen voor apps toch mogelijk te zijn om toegang tot de "resources" van andere apps te krijgen, wat de onderzoekers "unauthorized cross-app resource access" (XARA) noemen. Het was bekend dat dit probleem bij Android speelde, maar de onderzoekers wilden weten of ook Mac OS X en iOS kwetsbaar zijn. Twee platformen waarvan wordt aangenomen dat ze veiliger zijn dan Android, zo laten de onderzoekers in het rapport weten. Ze ontdekten dat het probleem ook bij de besturingssystemen van Apple speelt. Zodoende kan het mechanisme worden gekaapt dat de toegang tot de Keychain regelt, waardoor het vervolgens mogelijk is om toegang tot wachtwoorden en andere inloggegevens te krijgen van apps en websites die hierin zijn opgeslagen.
"De gevolgen van deze aanvallen zijn ernstig, waaronder het lekken van wachtwoorden, geheime tokens en allerlei soorten gevoelige documenten. Ons onderzoek laat zien dat het probleem wordt veroorzaakt door een gebrek aan authenticatie tijdens app-to-app en app-to-systeem interacties", aldus de onderzoekers in hun conclusie. Ze ontwikkelden een scanner om binaire bestanden voor OS X- en iOS-apps te analyseren om te bepalen of de juiste beschermingsmaatregel in hun code aanwezig is of niet.
Meer dan 88,6% van de 1612 populairste Mac-apps en 200 iOS-apps waren volledig kwetsbaar voor een XARA-aanval, waardoor een kwaadaardige app beveiligde informatie kon stelen. Apple zou in oktober 2014 door de onderzoekers zijn ingelicht en vervolgens hebben gevraagd om met de publicatie van het rapport te wachten, maar de onderzoekers zouden sindsdien niets meer hebben gehoord, zo meldt The Register. Het probleem is in Mac OS X 10.10.3 en 10.10.4 nog steeds aanwezig.
Deze posting is gelocked. Reageren is niet meer mogelijk.