Når det dukker opp nye sikkerhetshull er det relativt vanlig praksis at de som har oppdaget hullet kontakter den som har ansvar for å tette det.
Ofte innebærer dette en avtale om å holde fremgangsmåten hemmelig i en viss periode, til hullet kan tettes.
The Registermelder om seks forskere som gjorde akkurat dette, da de oppdaget et enormt sikkerhetshull i Ios og OS X.
Apple ble kontaktet, og skal ha bedt forskerne om å holde tett i et halvt år.
Det gjorde de, men da de seks månedene utløp hadde forskerne fortsatt ikke hørt fra Apple. Sikkerhetshullene eksisterer også fortsatt på Apples Macer, Ipader og Iphoner.
Kan stikke av med bilder, passord og mye mer
Det er heller ikke hvilke som helst sikkerhetshull det er snakk om, men potensielt ganske alvorlige trusler.
For eksempel skal det være mulig å bryte seg inn der Icloud lagrer nettpassordene dine.
Hullet kan også benyttes av apper som ønsker å få tilgang på data fra utenfor sin begrensede sfære. Apper i Ios kan kjøres i en såkalt «sandkasse», der den kun får tilgang på innholdet i sin kasse, og svært begrenset innhold utenfra.
Denne trusselen kan altså la ondsinnede utviklere bryte ned denne barrieren, og hente inn data fra andre apper og funksjoner på telefonen.
Hullet skal dessuten tillate utviklere å laste opp apper som ikke blir avslørt som ondsinnede av App Store.
Summen av dette kan bety store mengder personlig informasjon på avveie, med både passordene fra nøkkelringen, multimedieinnhold fra andre apper og kontaktlisten på telefonen som mulige mål.
Sårbare tjenester
Ved siden av å dokumentere hullene overfor Apple, har forskerne laget en del videosnutter som viser hvordan angrepet kan foregå, og hva den ondsinnede programvaren får med seg.
Også appen som informasjonen skal stjeles fra må være sårbar for at angrepet skal fungere, men forskerne har funnet ut at 88,6 prosent av appene som kjører på OS X var sårbare for angrepet.
Forskerne har ikke gått like generelt til verks for Ios, men har funnet 200 spesifikke apper som var vidåpne for uthenting av data via sikkerhetshullet. Blant dem Wechat, Evernote og Facebook.
Apple begrenser altså kommunikasjonen mellom slike apper ganske kraftig, men feilen skal ifølge forskerne ligge i systemene som tross alt finnes for utveksling av data mellom ulike apper.
Les også:
Så mange nettsteder kommuniserer gratis-appene med på hemmelig vis
Ble rapportert i oktober i fjor
Så langt har Apple altså bedt om seks måneder til å rydde opp i feilen som ble rapportert i oktober i fjor. I februar ble forskerne bedt om en tidlig utgave av forskningsrapporten.
Apple har foreløpig ikke sagt noe mer om saken, hverken til forskerne eller tilThe Register.
Selskapet har heller ikke besvart henvendelser fra Tek.no.
Google på sin side har fjernet integrasjonen mot iCloud for sin Chrome-nettleser, ettersom de mener at sårbarheten neppe lar seg løse på appnivå.
Hvorvidt de nyeste utgavene av Ios og OS X er rammet er foreløpig ukjent. Begge ble lansert mandag i forrige uke.
Les også: