Stort Apple-sikkerhetshull setter passordene dine i fare
Gjelder både på Mac og iOS.
Sikkerhetssvikt er oppdaget i Apples operativsystem. Foto: ©2015 iStockphoto LP
En gruppe på seks universitetsforskere har avdekket en alvorlig svakhet i Apples operativsystemer. Denne kan potensielt gi uvedkommende full tilgang til passord og annen sensitiv informasjon på enhetene dine.
– Nylig oppdaget vi et sett overraskende sikkerhetssvikter i Apples Mac OS og iOS, som tillater at en ondsinnet app kan få ikke-autorisert tilgang på andre appers sensitive data – som for eksempel passordene og påloggingsinfo til iCloud, Mail-appen og alle nettpassordene som er lagret i Google Chrome, sier forsker Luyi Xing ved Indiana University til The Register.
Forskerne har i sin rapport beskrevet hvordan de klarte å laste opp såkalt «malware» – altså programvare med skumle og ofte skjulte hensikter – til Apples App Store både på iOS og OS X.
Programmet kom seg forbi selskapetes strenge godkjennelsesprosesser uten at noen varselslamper ble tent. Det fikk videre tilgang til passordsystemet Keychain på brukernes enheter – der det gjerne er lagret en stor mengde innloggingsdata som man ikke vil at andre skal få tak i.
Varslet Apple i fjor
Ifølge Xing varslet forskerne Apple om funnet allerede i oktober i fjor, og har siden overholdt selskapets ønske om å holde informasjonen hemmelig i seks måneder.
Denne perioden er nå utløpt, uten at problemene synes å være helt fikset – det er dermed en reell frykt for at noen nå kan forsøke å utnytte sikkerhetshullet.
Ifølge sikkerhetsekspert Einar Otto Stangvik har neppe Apple hvilt på sine laurbær i disse seks månedene.
- Nå har jo ikke Apple uttalt seg konkret i denne saken. Men på generelt grunnlag kan man nok si at Apples motivasjon for å tilbakeholde denne informasjonen er at de har ønsket å fikse problemet – ikke for å forsøke å feie saken under teppet, sier Stangvik til Online.no.
Flere fikser må til
Han mener at det er mest logisk at Apple først og fremst har forsøkt å tette hullet inn til sin App Store, slik at det i fremtiden ikke vil være mulig å snike inn tilsvarende skadelig programvare dit – i hvert fall ikke på samme måte:
– Dette er det aller mest kritiske å ta tak i først. Så lenge man laster ned noe fra App Store, skal man være helt vernet mot skadelig programvare. Noe helt annet gjelder kjørbare koder man laster ned fra andre steder. Da er det så mye som kan gå galt at man nesten ikke kan beskytte seg mot det, sier Stangvik, og fortsetter:
– Den andre delen av denne svakheten er knyttet til Apples Keychain-tjeneste, som er en grunnleggende del av operativsystemene. For å fikse dette må Apple patche hele OS X og iOS, noe som både tar lenger tid og samtidig må ut til et kritisk antall enheter, sier Stangvik.
Pass på passordene
Nylig ble det forøvrig avdekket et annet sikkerhetsbrudd knyttet til LastPass – en av de mest brukte og populære programmene for generering og lagring av passord.
De som kom seg inn på serverne til LastPass var ifølge selskapet aldri i nærheten av å skaffe seg tilgang til alle brukernes passord som var lagret på tjenesten servere, ettersom disse var tungt kryptert.
Selv med to slike angrep rettet mot systemer for lagring av passord, er det Ifølge Stangvik liten grunn til å slutte å bruke slike programmer.
– Jeg skal være veldig forsiktig med å si til noen at de ikke skal bruke et slikt passordprogram. Kanskje bør du vurdere å holde de aller viktigste passordene dine, som til nettbanken, for deg selv, sier Stangvik – før han legger til:
– Det er uansett langt tryggere å la et slikt program lage og lagre forskjellige passord, enn at du har ett passord du bruker over hele internett.
MALWARE
- Malware kommer av de engelske ordene Malicious Software og er en fellesbetegnelse på ondsinnet programvare.
- Kan gjerne kalles «skadevare» eller «skadeprogrammer» på norsk.
- Eksempler på malware er datavirus, ormer, trojanere, spyware, adware, backdoors, rootkit og keyloggere.
Kilde: Wikipedia.
EKSPERTEN
- Det er sikrere å bruke et passordprogram til å genere og lagre passord for deg, enn bruke samme passord over hele nettet, sier sikkerhetsekspert Einar Otto Stangvik. Foto: Privat
PASSORDPROGRAM
- Hvorfor bruke passordprogram? Det er vanskelig å huske alle passordene dine. Samtidig er det en dårlig idé å bruke det samme passordet overalt. Faren med å bruke samme enkle passord til flere nettsider er at det gjør deg sårbar for nettsvindel og phishing. Får skurkene først adgang til passordet ditt via ett nettsted kan de da bruke dette til å logge seg inn andre steder.
- Er det noen risiko ved bruk av passordprogrammer? Krypteringen som brukes i slike apper er generelt vanskelig å bryte. Den største risikoen er antakelig deg selv. Husk å velge et hovedpassord ingen andre enn du kan få tak i. Dessuten er det viktig med kodelås på mobilen din hvis du bruker en passord-app.
- Hva er vanlig funksjonalitet i passordprogrammer? De fleste lar deg lage gode passord etterhvert som oppretter brukere, og lar deg enkelt hente fram disse når du skal logge deg inn neste gang. Mange lar deg også lagre lisenser, bankkort, adresseinformasjon, pin-koder og annen sensitiv informasjon. Det kan ofte være praktisk med et program som lar deg synkronisere dataene dine på tvers av dingsene dine. Dette gjør at du enkelt får tilgang til passordene dine når du for eksempel logger deg av pc-en og legger ut på tur, klar til å mobilsurfe.
- Hva er kryptering? Kryptering konverterer informasjon du har lagret eller sender til et ikke-lesbart format. Dette skriver Norsk senter for informasjonssikring (NORSIS): Kryptering fungerer ved å bruke komplekse matematiske operasjoner og en unik nøkkel for å konvertere informasjonen til kryptert tekst. Nøkkelen er det som låser eller låser opp informasjonen, på samme måte som en nøkkel kan låse eller låse opp en dør. Høygradskryptering betyr at krypteringen bruker den høyeste nøkkelstørrelsen (256 bit) noe som gjør det praktisk talt umulig for andre å lese informasjonen som sendes og lagres.
NY MOBIL ELLER NETTBRETT
