Ein Team von Wissenschaftlern der Indiana University, Georgia Tech und Peking University hat eine Sicherheitslücke in iOS und OS X entdeckt, die Apple bislang nicht schließen konnte, obwohl man bereits vor neun Monaten hierüber in Kenntnis gesetzt wurde. Demnach kann es mit einer manipulierten App gelingen, Zugangsdaten aus Apples Passwortverwaltung zu entwenden. Unter anderem sind hiervon sowohl der iCloud-Schlüsselbund und die Zugangsdaten zu den Mailprogrammen unter und OS X betroffen, aber auch externe Apps, wie beispielsweise Googles Chrome-Browser.
Die Forschungsergebnisse wurden in einer wissenschaftlichen Veröffentlichung zusammengetragen und Apple informiert. Dort nahm man die Sicherheitslücke zur Kenntnis und bat die Wissenschaftler um eine sechsmonatige Geheimhaltung. Nachdem diese abgelaufen ist ohne das Apple die Lücke gestopft hat, wurden die Ergebnisse nun veröffentlicht. Das 13-seitige Paper mit dem Titel "Unauthorized Cross-App Resource Access on Mac OS X and iOS" beschreibt dabei, wie die Kommunikation zwischen Apps und Diensten wie dem Schlüsselbund und WebSocket abgehört und dabei Zugangsdaten abgegriffen werden können.
Zu den hierdurch betroffenen Apps gehören unter anderem so populäre Anwendungen wie 1Password, iCloud, Gmail, Google Drive, Facebook, Twitter, Chrome, Evernote, Pushbullet, Dropbox, Instagram, WhatsApp, Pinterest, Dashlane, AnyDo, Pocket und diverse andere. Offenbar ist Apple nicht in der Lage, die manipulierten Apps für den Angriff zu entdecken. Jedenfalls haben es die Forscher geschafft, diese diverse Male durch Apples AppStore-Zugangskontrolle zu schleusen.
Der Nutzer kann sich aktuell nicht gegen den Angriff schützen. Die Forscher empfehlen jedoch, vorrangig Apps von vertrauenswürdigen Entwicklern aus dem AppStore zu laden bis Apple die Lücke gestopft hat. Von den Entwicklern betroffener Apps hat Google bereits Konsequenzen gezogen. Die bislang in Chrome verwendete Speicherung von Daten und Kennwörtern im Schlüsselbund wurde inzwischen deaktiviert.