Er zit een groot beveiligingslek in Apple-besturingssystemen iOS en OS X. Daarmee zou het voor aanvallers mogelijk zijn wachtwoorden te stelen die op het toestel staan opgeslagen. Het gaat daarbij om wachtwoorden die in de ‘iCloud-sleutelhanger’ staan.
Het lek werd ontdekt door onderzoekers van de University of Indiana, die hun bevindingen vandaag naar buiten hebben gebracht. Dat deden de onderzoekers nadat zij Apple een half jaar geleden al over het lek hebben ingelicht. Het bedrijf heeft daar echter niets mee gedaan.
App Store
De bug is te misbruiken via malafide apps die de gebruiker op zijn iPad, iPhone of Mac installeert. Normaal gesproken wordt dergelijke malware tegengehouden door Apples strenge selectie, maar de onderzoekers zeggen dat de malware niet te ontdekken is en daarom makkelijk in een willekeurige app in te App Store kan komen te staan.
iCloud-sleutelhanger
Via het lek is het mogelijk wachtwoorden te stelen uit de iCloud-sleutelhanger. Dat is een onderdeel van alle Apple-apparaten waar je via je Apple-account wachtwoorden in kan opslaan. Dat is handig wanneer je een nieuw apparaat moet instellen, want je hoeft daarbij niet nóg een keer al je wachtwoorden in te voeren.
Op de achtergrond
Je moet als Apple-gebruiker expliciet toestemming geven de iCloud-sleutelhanger te gebruiken, maar omdat Apple het gebruik tijdens het instellen van een apparaat aanraadt zullen veel iPhone- of iPad-bezitters de applicatie op de achtergrond hebben draaien.
Niet buiten App Store om
De kans is klein dat je de app met malware per ongeluk hebt gedownload, of dat je binnenkort een nieuwe app in de App Store vindt die misbruik maakt van het lek. Daarnaast blijft het advies om geen apps te installeren buiten de App Store om.