http://www.nu.nl/internet/4070418/wachtwoorden-in-icloud-sleutelhanger-stelen-ernstig-lek-.html
Na zes maanden nog niet gedicht? Klinkt niet best.
Laatst ook al een ernstige fout in bootrom van oudere machines...
88% van de apps zijn in staat om de sandbox uit te komen en nare dingen te doen. Verder is het ze wederom gelukt om diverse apps in de appstore te krijgen die deze vulnerability ook kunnen misbruiken.
Is wel een serieus probleem voor Apple, denk dat ze de hele sandbox architectuur aan moeten passen maar is geen excuus om een half jaar niets op te lossen...
(Bewerkt door FanBoy om 15:52, 17-06-2015)
Heeft iemand die 'paper' al gelezen?
Wat ik er nu zo van begrijp kan de malware de ACL voor een app verwijderen en opnieuw aanmaken als je de app weer gebruikt en dan zichzelf ook in de ACL plaatsen.
Redelijk serieus inderdaad. Gelukkig nog niet in het wild misbruikt maar het devies alleen uit de appstore downloaden geldt nu ook even niet als 100% veilig want ze hebben test apps er door gekregen.
Ik vraag mij wel af moet dan die keychain in je cloud staan of niet? Ik heb het namelijk zo ingesteld dat mijn keychain niet bewaard wordt in mijn icloud juist omdat ik dus bang was voor dit soort dingen.
Nog een leuk videootje.
(Bewerkt door malpiet om 19:00, 17-06-2015)
http://www.theregister.co.uk/2015/06/17/apple_hosed_boffins_drop_0day_mac_ios_research_blitzkrieg/
https://news.ycombinator.com/item?id=9730944
Wat ik er tot nu toe van begrijp.
Een OS X programma kan gevoelige informatie opslaan in de keychain. OS X biedt hiervoor een "kluisje in de bank" aan. In principe heeft alleen dat programma toegang tot die informatie ("de sleutel van het kluisje"). Maar een willekeurig ander programma kan OS X vragen om dat "kluisje in de bank" weg te halen, en er een nieuw kluisje voor in de plaats te zetten, maar nu met twee sleutels. Een voor de eigenlijke eigenaar, en een voor de kwaadwillende app. Als de eigenaar dan later opnieuw langskomt om het kluisje te openen en gevoelige informatie op te slaan, heeft de kwaadwillende app daarna ook de mogelijkheid om die informatie te bekijken.
Een tweede variant is dat de kwaadwillende app als eerste het kluisje aan laat maken door OS X. De eigenlijke app slaat daarna nietsvermoedend zijn informatie op in het kluisje, niet wetend dat er meer apps toegang tot de kluis hebben.
De apps die hiertegen bestand zijn (de 12% die niet 'affected' is) zijn de apps die iedere keer een nieuw kluisje laten aanmaken door OS X alvorens informatie, of een wijziging in de informatie, op te slaan.
http://www.thesafemac.com/multiple-vulnerabilities-found-in-mac-os-x/
Dat Apple hard aan het werk moet om deze zaak, en andere 'aanvallen' op te lossen, lijkt me evident. Dit kunnen ze niet lichtvaardig afdoen.
Overigens, voor het grote plaatje: al sinds het begin van de koude oorlog (jaren 50) is de 'proof of concept' dat we met elkaar op deze aarde genoeg TNT-equivalent hebben om in korte tijd de hele mensheid uit te roeien. Geloof niet dat de gemiddelde aardbewoner daar wakker van ligt.
Flix om 12:50, 18-06-2015Wat meer gelezen over deze zaak.Keychain is NIET lek, wat eigenlijk wel een beetje de strekking is van dit topic.Bestaande gegevens kunnen niet worden verkregen door derden. Het gevaar zit in nieuwe entries. Scheelt nogal.Ik zie geen reden Keychain niet te gebruiken, ook niet icm iCloud.Dat Apple hard aan het werk moet om deze zaak, en andere 'aanvallen' op te lossen, lijkt me evident. Dit kunnen ze niet lichtvaardig afdoen.Overigens, voor het grote plaatje: al sinds het begin van de koude oorlog (jaren 50) is de 'proof of concept' dat we met elkaar op deze aarde genoeg TNT-equivalent hebben om in korte tijd de hele mensheid uit te roeien. Geloof niet dat de gemiddelde aardbewoner daar wakker van ligt.
Met andere woorden jij vindt het een storm in een glas water?Met de nieuwe entries bedoel jij enkel de laatste wachtwoorden welke in de keychain worden bewaard?Dus alle oude wachtwoorden in de keychain zijn 'veilig'?Die laatste opmerking omtrent de TNT huppeldepup is mij niet helemaal duidelijk.
macqintosh om 13:53, 18-06-2015"Die laatste opmerking omtrent de TNT huppeldepup is mij niet helemaal duidelijk. "Dat je dit probleem in OSX/iOS in perspectief moet zien en dus relativeren. Er zijn veel ergere dingen waar geen mens wakker van ligt maar dit lek wordt uitvergroot tot en met.(Bewerkt door macqintosh om 13:53, 18-06-2015)
Dat je dit probleem in OSX/iOS in perspectief moet zien en dus relativeren. Er zijn veel ergere dingen waar geen mens wakker van ligt maar dit lek wordt uitvergroot tot en met.
(Bewerkt door macqintosh om 13:53, 18-06-2015)
Daarom vroeg ik ook een storm in een glas water?Moet ik mij dit ervan voorstellen?Stel de hack of whatever heeft plaatsgevonden dan zijn alle oude wachtwoorden in de cloud veilig, daar is niet bij te komen tenminste dat is wat ik ervan heb begrepen.Maar als ik NA de hack een paypal en ICS account aanmaak zijn deze wachtwoorden dan niet meer veilig in de cloud ( Keychain) ?
Stel het is zwaar overtrokken, welke wachtwoorden in de cloud zijn dan niet veilig?
Bijkomend probleem is dat het de onderzoekers gelukt is om een kwaadaardige app in de appstores te krijgen.
FanBoy om 14:48, 18-06-2015Voorlopig is alles veilig omdat het om een proof of concept gaat maar de implicatie van de fout is groot doordat er 4 mogelijke aanvalsvectoren zijn zonder dat er een password nodig is. Waarschijnlijk duurt een fix nu al een half jaar omdat er een grote aanpassing van het OS nodig is om dit te fixen.Bijkomend probleem is dat het de onderzoekers gelukt is om een kwaadaardige app in de appstores te krijgen.
Precies en met die app hebben ze een mogelijkheid verkregen om in de cloud keychain te komen, toch?
Flix om 17:21, 18-06-2015- Ja, de bestaande ww lopen geen gevaar in Keychain, voor zover ik het begrijp.- Nee, ik vind het zeker geen storm in een glas water.- Nee, het is nog geen daadwerkelijk gevaar. Wel een proof of cocept die zorgelijk genoeg is (vooral voor Apple).- Ja, je moet je niet gek maken. De kans is op het moment heel klein, en het gevolg is relatief ook niet groot. Als je geen angst hebt voor het surplus aan TNT, moet je je hier ook niet zo angstig om maken.
Ik ben blij dat het hier in begrijpelijke taal wordt uitgelegd. Ik was enorm bezorgd toen ik keychain las maar zoals het ernaar uit ziet valt het nog enigszins mee maar het imago van Apple wordt wel als zodanig op de proef gesteld.
FanBoy om 14:48, 18-06-2015Voorlopig is alles veilig omdat het om een proof of concept gaat
Ik heb wat moeite met een dergelijke conclusie. Vergelijk het volgende:
De bank wordt door een inspecteur er op gewezen dat iemand een gat van een meter in de kluis geboord heeft.De bank is bezorgd en gaat een half jaar het geld in de kluis natellen.
PoePoe... Gelukkig al het geld is er nog. "Beste klant maakt u zich niet ongerust, we hebben een nieuwe kluis (patch) besteld"
En totdat die nieuwe kluis binnen zou zijn, zou al het geld veilig zijn?
Er is nu bekend gemaakt dat er een groot gapend gat in de beveiliging van IOS en OS X zit. Wat je niet weet is wie dat allemaal nog meer weet en wie dat misschien ook al een half jaar of langer weet. Wat je dus ook niet weet is of er actief een crimineel bezig is om dit gat te misbruiken.
Omdat het er dik inzit dat de bank wat aan de zwakke plek in de kluis gaat doen, is er waarschijnlijk niet zoveel aan de hand.
Er zit een groot gapend gat in het besturingssysteem, daarmee kun je van alles, o.a. de keychain-inhoud kapen.
Zolang dat gat nog open is, is het niet veilig.
Ik zie een serieus probleem, maar geen reden tot paniek.
Gewoon verstandig blijven nadenken. Daarin staat het iedereen vrij om te kiezen hoeveel risico hij/zij wil lopen.
Of er nu iets aan de hand is of niet is een combinatie van enerzijds de feiten, en anderzijds ieders persoonlijke inschatting.
Feiten zijn helder: Flink gat in IOS en OSX
Is dat erg? Mag iedereen zelf iets van vinden...
Gast
