Dat stellen onderzoekers van Indiana University en de Georgia Institute of Technology in een paper (pdf).
De onderzoekers rapporteerden het lek al in oktober aan Apple, dat hen om zes maanden tijd vroeg om het lek te dichten. Het lek is echter nog altijd niet gedicht, aldus de onderzoekers.
“We hebben de sleutelhanger-service volledig gekraakt”, aldus de wetenschappers. Ook hebben zij andere kwetsbaarheden gevonden die gebruikt kunnen worden om gevoelige data te stelen van Evernote, Facebook en andere populaire apps.
Het is de onderzoekers bovendien gelukt om apps die gebruikmaken van het lek te uploaden naar de App Store van zowel iOS als OS X. De apps werden vervolgens goedgekeurd door Apple, dat dus niet in de gaten had dat het ging om malware.
In de iCloud-sleutelhanger (of keychain in de Engelse versie) worden de wachtwoorden van diverse apps opgeslagen zodat die niet steeds opnieuw hoeven worden ingevoerd. Wanneer een gebruiker een iOS- of OS X-apparaat voor het eerst opstart of het besturingssysteem opnieuw installeert vraagt Apple of hij of zij de wachtwoordbeheerder wil inschakelen.