‘Apple begaat grove securityfout in iOS 6'
Apple staat het in de developerversie van iOS 6 toe gratis apps zonder wachtwoord te installeren. Als Apple dit in de definitieve versie van het mobiele besturingssysteem ongemoeid laat, dan is de beveiliging van het OS in het geding, claimt securityleverancier nCircle.
’Apple gaat beslissing berouwen’
In het geval van het nieuwe iOS 6 staat Apple op het punt gebruiksgemak boven security te verkiezen. De beslissing om voor het installeren van gratis apps niet langer een wachtwoord te vereisen lijkt op korte termijn aantrekkelijk, maar kan als een boemerang terugkeren, waarschuwt securitychef Andrew Storms van leverancier nCircle.
“Het besluit om het valideren van wachtwoorden weg te halen bij gratis apps is opnieuw een voorbeeld dat Apple gebruikers verantwoordelijk maakt voor hun eigen security. Dat brengt altijd risico met zich mee”, zo zegt hij tegen zustersite PCWorld. In eerdere versies van iOS (waaronder ook het huidige iOS 5) kunnen gebruikers pas een app installeren zodra ze het wachtwoord opgeven van de Apple Store.
Phishing en smishing
Niet alleen zouden andere gebruikers van een iPad of iPhone (naast de hoofdgebruiker) door deze verandering een smartphone of tablet vol kunnen zetten met gratis apps, ook opent deze ‘feature’ de deur richting snode phishing en smishing aanvallen tegen iOS-apparatuur. Een aanvaller kan een (gefingeerde) link sturen naar een kwaadwillende app die zich – zolang deze gratis is – zonder goedkeuring of kennisgeving laat installeren. Zo kan een stalker een gratis app als Finder+ op een toestel installeren, waarmee je op afstand de locatie van een iPhone kunt uitlezen.
“De beslissing van Apple gaat voorbij aan gebruikelijke authenticatie- en authorisatiemaatregelen. Het maakt het nog eenvoudiger voor gebruikers om apps te installeren die iets van plan zijn met hun persoonlijke data”, zegt Storm. Hij roept Apple daarom op zo spoedig mogelijk wachtwoordauthenticatie voor gratis apps in ere te herstellen.
