Mac OS X en iOS blijken een gevaarlijk lek te bevatten waardoor wachtwoorden van apps en alle inhoud van de 1Password-wachtwoordmanager zijn te achterhalen.
Onderzoekers van drie universiteiten hebben dit onlangs ontdekt en een wetenschappelijk artikel gepubliceerd over hun gezamenlijke onderzoek. Het lek zit in de sandbox. Ironisch genoeg is dat het mechanisme dat ervoor zou moeten zorgen dat applicaties elkaars data juist niet kunnen benaderen.
Zichtbaar
Onderzoekers van de Universiteit van Indiana, het Georgia Institute of Technology en Peking University hebben een app gemaakt die alle wachtwoorden in Apples Keychain zichtbaar maakt. De app kan ook de wachtwoorden uit apps van derden achterhalen.
Nieuwe zwakheden
“We zijn erin geslaagd de complete Keychain-service te kraken waarin Apple de wachtwoorden en andere instellingen van Apple-apps opslaat en de sandbox containers in OS X”, aldus onderzoeker Luyi Xing. “Bovendien hebben we nieuwe zwakheden ontdekt binnen de inter-app communicatiemechanismen in OS X en iOS die gebruikt kunnen worden om vertrouwelijke data te stelen uit Evernote, Facebook en andere veelgebruikte apps”. In oktober 2014 is Apple hierover geïnformeerd. Apple onderkent het probleem volgens Xing.