Een Apple iPhone 3GS en een Macbook Pro.

Volgens een artikel in The Register is het mogelijk wachtwoorden van Apple-gebruikers te stelen, inclusief die van het postprogramma, zonder dat de gebruiker dat in de gaten. Die kwetsbaarheid zou al een half jaar bekend zijn bij Apple, maar die schijnt daar nog niets aan gedaan te hebben. Dat maakten onderzoekers van de universiteit van Indiana, Georgia en Peking bekend in een vakartikel (pdf-bestand).De onderzoekers zijn heel zeker van hun zaak. “Onze studie brengt een hele rij onverwachte, veiligheidskritische fouten aan het licht”, zo stellen ze, “die tamelijk desastreus kunnen uitpakken”. Zo zou de gevoeligste gebruikersinformatie zoals wachtwoorden voor de grijp van e-krakers liggen. De onderzoekers hebben zelf ook toepassingen ontwikkeld om die de computers en telefoons binnen te smokkelen via de AppleStore (app.store). Met behulp van die kwaadaardige apps was de gebruiker van Apple-computer of -telefoon te beroven van zijn wachtwoorden en zijn beveiligingscodes voor de Apple-wolk (iCloud). Zelfs wachtwoorden van de populaire wachtwoordbeheerder 1Password bleken voor het grijpen te liggen. Met een zelfgeschreven programma onderzochten de onderzoekers ook andere toepassingen in de winkel van Apple. In het totaal 1612 Mac-toepassingen en 200 iOS-apps. 88,6% bleek lek.
Het probleem zou liggen in de communicatie tussen het besturingssysteem en de afzonderlijke toepassingen en van de onderlinge communicatie tussen de toepassingen, door de onderzoekers XARA (Cross-App Resource Access) gedoopt. De lekken maakten zelfs gegevensuitwisseling mogelijk tussen apps die eigenlijk verboden behoorde te zijn. De onderzoekers hebben Apple al in oktober vorig jaar op de hoogte gesteld van de lekken, maar die zijn zouden nog steeds niet zijn gedicht. Desalniettemin besloten de onderzoekers tot publicatie over te gaan. Ze vonden dat ze Apple genoeg gelegenheid hadden geboden de zaak te repareren. Apple wilde niet reageren.

Bron: der Spiegel