Apple lost bug op waarbij Passwords-app onversleutelde verzoeken stuurde

Apples Passwords-app stuurde onversleutelde verzoeken voor logo's en pictogrammen van sites die aan opgeslagen wachtwoorden zijn gekoppeld. Daardoor waren gebruikers kwetsbaar voor phishingaanvallen. Apple heeft de kwetsbaarheid in iOS 18.2 verholpen.

Bij het bewerken van een wachtwoord in de Passwords-app werd de bijbehorende website standaard geopend via een onbeveiligde HTTP-verbinding in plaats van Https, ontdekten beveiligingsonderzoekers van Mysk. Daardoor konden kwaadwillenden met privileged network access, bijvoorbeeld via openbare wifinetwerken, het onbeveiligde browseverkeer onderscheppen en de gebruiker omleiden naar een phishingwebsite.

De kwetsbaarheid is bijgehouden via CVE-2024-44276 en CVE-2024-54492. De problemen zijn in iOS 18.2 verholpen door Apple, maar de techgigant heeft het bestaan ervan pas deze week naar buiten gebracht. IOS 18.2 werd in december 2024 uitgebracht. Mysk heeft een demonstratie van de kwetsbaarheid gedeeld op zijn YouTube-kanaal.

Apple Passwords bugfix iOS 18.2

Door Sabine Schults

Redacteur

Feedback • 19-03-2025 09:39 65

19-03-2025 • 09:39

65

Lees meer

Apple iPhone 16

vanaf € 739,35

4 van 5 sterren

Alles over dit product

Apple iPhone 16 Pro

vanaf € 997,50

3.5 van 5 sterren

Alles over dit product

Apple belooft fix voor bug die audioberichten met '&' in transcriptie tegenhoudt
Apple belooft fix voor bug die audioberichten met '&' in transcriptie tegenhoudt Nieuws van 13 mei 2025
Apple iPhone 16e

vanaf € 575,90

4.5 van 5 sterren

Alles over dit product

Apple AirPlay-apparaten konden overgenomen worden via lokale netwerken
Apple AirPlay-apparaten konden overgenomen worden via lokale netwerken Nieuws van 30 april 2025
Franse toezichthouder beboet Apple voor 'complexe' trackingprompts
Franse toezichthouder beboet Apple voor 'complexe' trackingprompts Nieuws van 31 maart 2025
Kwetsbaarheid in Kubernetes-Ingress-controller laat hackers clusters overnemen
Kwetsbaarheid in Kubernetes-Ingress-controller laat hackers clusters overnemen Nieuws van 25 maart 2025
Microsoft bevestigt bug in Windows die printers uit zichzelf laat printen
Microsoft bevestigt bug in Windows die printers uit zichzelf laat printen Nieuws van 13 maart 2025
Apple fikste bug waarmee ieder bluetoothapparaat via Find My kon worden gevolgd
Apple fikste bug waarmee ieder bluetoothapparaat via Find My kon worden gevolgd Nieuws van 28 februari 2025
Apple lost iPhone-bug op die 'Trump' toont als gebruikers 'racist' zeggen
Apple lost iPhone-bug op die 'Trump' toont als gebruikers 'racist' zeggen Nieuws van 26 februari 2025
Microsoft repareert 4 zerodays en 55 bugs tijdens Patch Tuesday
Microsoft repareert 4 zerodays en 55 bugs tijdens Patch Tuesday Nieuws van 12 februari 2025
Meer producten en artikelen
Smartphones Beveiliging en antivirus Apple iOS iPhone Bugs

Reacties (65)

-Moderatie-faq
65
62
20
2
0
26
Wijzig sortering
Cyb 19 maart 2025 10:39
Het artikel verwijst naar een X link. Voor de mensen die BlueSky/Mastodon gebruiken, hier de bijbehorende link van Mysk:
https://bsky.app/profile/mysk.bsky.social/post/3lkniplfojk27
https://mastodon.social/@mysk/114183040157373271
Maarten69 @Cyb19 maart 2025 17:49
Heel goed opgemerkt.
RiDo78 19 maart 2025 10:03
Misschien dat het aan mij ligt maar ik zie niet echt wat het probleem is. Tuurlijk is het beter om websites via HTTPS te benaderen, maar waar hebben we het hier over?

Dus je bewerkt een wachtwoord in je passwords-app en Apple wil daar graag een mooi icoontje bij zoeken. Doorgaans is dat het favicon.ico filetje in de root van het domain, die ook gebruikt wordt voor het icoontje in de tabs van je browser.

Nu kan iemand die je netwerkverkeer onderschept zien dat je die file ophaalt van een bepaald domain en er op die manier achter komen dat je daar een account hebt.

Maar wat is nu het verschil met een HTTPS verbinding? De aanvaller kan dan niet zien dat je dat icoontje binnen hengelt, maar kan in de meeste gevallen wél zien met welk domein je aan het communiceren bent.

Dus ja, HTTPS is beter maar het is niet zo dat dit een bug van wereldformaat is.
HuRRaCaNe @RiDo7819 maart 2025 11:18
Het probleem is niet het ophalen van icoontjes, maar dat het aanpassen van het wachtwoord via een onbeveiligde http verbinding ging.
This prompted the duo to investigate further, finding that not only was the app fetching account logos and icons over HTTP—it also defaulted to opening password reset pages using the unencrypted protocol. “This left the user vulnerable: an attacker with privileged network access could intercept the HTTP request and redirect the user to a phishing website,” Mysk told 9to5Mac.
Source
rneeft 19 maart 2025 09:42
Ik vraag mezelf dan echt af hoe dit gebeurd? Https gebruiken is toch gewoon security 101? Hoe komt zo iets door code reviews en eventueel statische checks??
willieverhoef @rneeft19 maart 2025 09:45
En dat de site nog reageert, meestal krijg je een 301
jorismathijssen @willieverhoef19 maart 2025 09:55
Ik wilde net zeggen, het is ook best verrassend dat live.com geen HSTS afdwingt.
ChefA @jorismathijssen19 maart 2025 11:38
Juist dat soort grotere websites nemen dat soort maatregelen vaak niet om 'niemand uit te sluiten'.
Net als het niet gebruiken van de best practices voor ciphersuites.
svane @willieverhoef19 maart 2025 09:56
het gaat om de kwaadaardige 'site' die de phishing-aanval uitvoert. Die gaat uiteraard wel http ondersteunen. De passwords app zou nooit deze site moeten openen!
b12e @svane19 maart 2025 17:41
Nuja het gaat niet om een kwaadaardig domein, maar om een MITM waarbij iemand je verkeer zou kunnen omleiden naar een andere website door het HTTP verkeer te onderscheppen.

Voorbeeld: je wil je wachtwoord resetten voor domeinnaam.nl. Apple Wachtwoorden opende daarbij http://domeinnnaam.nl/wachtwoordreset. Het kwaadaardige netwerk verwijst je door naar een andere pagina of ander domein door zich uit te geven als domeinnaam.nl en zo verkeer te onderscheppen of om te leiden.

Met HTTPS wordt dat lastiger: Als Apple Wachtwoorden je naar https://domeinnaam.nl/wachtwoordreset laat navigaren en een MITM je probeert om te leiden (zich probeert uit te geven als domeinnaam.nl) dan geeft dat gelijk een certificaatprobleem (het grote boze netwerk heeft namelijk de certificaten niet om te bewijzen dat ze domeinnaam.nl zijn).

Met HSTS kan je aangeven dat domeinnaam.nl ALTIJD via HTTPS moet lopen, en browsers weigeren dan met http:// te verbinden en leiden je om naar https://, zo kan een domeinnaameigenaar dus forceren dat dit soort aanval niet mogelijk is voor zijn of haar domeinnaam. Maar zo sluit je ook mensen buiten die om wat voor reden dan ook geen https kunnen gebruiken.

[Reactie gewijzigd door b12e op 19 maart 2025 17:42]

svane @b12e19 maart 2025 17:53
Snap ik :) maar bedankt voor de aanvulling.

@willieverhoef vroeg zich af waarom de 'site' (live.com in dit voorbeeld) überhaupt reageert op http verzoeken ipv een 301 terug te geven.

Het antwoord is dat live.com wel netjes een 301 richting https terugstuurt, maar dat de 'phishing-site', die de MITM jou laat zien dat niet doet, en jou een nep-pagina laat zien.

Live.com doet hier dus ook weinig verkeerd, ze gebruiken ook nog HSTS om te zorgen dat je niet zomaar per ongeluk op een http-versie komt. (Hoe de researchers HSTS in hun voorbeeld hebben ontweken kan ik overigens niet zo snel vinden)

edit:
Ik zie net dat live.com geen HSTS headers meestuurt. De subdomeinen doen dat wel, maar hun hoofdomein niet, lijkt mij wel een beetje slordig

[Reactie gewijzigd door svane op 19 maart 2025 17:58]

bzzzt
@rneeft19 maart 2025 09:59
Het gaat niet om algemeen geen HTTPS gebruiken, maar specifiek voor de "Passwords" app die relatief recent is toegevoegd. Vroeger was dit onderdeel van Safari, maar geen idee of dat dezelfde implementatie is.
Bij een password wordt alleen de domeinnaam opgeslagen voor het koppelen aan de autofill van de browser, maar sinds vandaag weet ik dat als je er op klikt je ook de optie krijgt dit domein in een browser te openen. Kennelijk heeft iemand daar niet nagedacht over het standaard protocol, maar dat is nou niet bepaald de meest gebruikte weg om een website te openen.
Details zijn ook vrij beperkt, ik kan bijvoorbeeld nergens vinden of dit issue ook speelt bij sites die strict transport security aan hebben staan wat bij de grote meerderheid van security gevoelige sites het geval zal zijn. Natuurlijk zou het niet moeten kunnen maar het kan een stomme aanname zijn geweest die niet opgevallen is omdat het in de praktijk vrijwel nergens leidt tot HTTP verkeer.
Verwijderd 19 maart 2025 09:50
Voor password managers zijn er veel betere opties bij iOS, zoals 1password of bitwarden(gratis). Deze kun je tenminste nog buiten het apple ecosysteem gebruiken en in elke browser.

Apple passwords kun je niet eens exporteren zonder macOS computer/laptop.

Correctie Ik zie nu dat ze dit eindelijk toegevoegd hebben aan iOS 18.2

Dit is vrij recent en hiervoor vanaf de introductie van iOS 16 ofz was het dus niet mogelijk.

[Reactie gewijzigd door Verwijderd op 19 maart 2025 10:34]

bzzzt
@Verwijderd19 maart 2025 10:00
Je kan het ook omdraaien: waarom zou je bijbetalen voor een derde-partij oplossing als je alleen een Mac en/of iOS device hebt?
CerandoX.nl @bzzzt19 maart 2025 10:05
Om niet afhankelijk te zijn van één leverancier voor al je diensten?
bzzzt
@CerandoX.nl19 maart 2025 10:08
Dat is alleen relevant als het praktisch en te verantwoorden is.
Als je alleen een Apple computer hebt is dat toch ook al het geval?
Ik zet ook geen tweede auto van een ander merk voor mijn deur om niet afhankelijk te zijn van een fabrikant...
ZaPPZion @bzzzt19 maart 2025 11:22
Beetje scheve vergelijking, jij tankt toch ook niet alleen maar bij de dealer? En je mag toch ook zelf kiezen om er goedkopere motorolie in te gooien? En je kunt toch ook naar een andere garage?
bzzzt
@ZaPPZion19 maart 2025 13:46
Ok, slechte autovergelijkingen. Als ik slechte olie gebruik vervalt wel de garantie en een andere garage kan niet alle storingen oplossen.
Verwijderd @bzzzt19 maart 2025 10:17
De meeste alternatieven voor apple services kunnen veel meer of zijn uitgebreider.

Vooral deze:
Passwords
Mail
Notities
Browser
Maps
Cloud
Agenda
Music

Als er sever issues zijn kan je gelijk niet meer alles wat dus niet offline staat: muziek, cloud, online agenda, online notities of je mail.

Een auto is een slechte vergelijking want als er server issues zijn met je elektrische auto start ie alsnog.

[Reactie gewijzigd door Verwijderd op 19 maart 2025 13:22]

bzzzt
@Verwijderd19 maart 2025 10:24
Mail heb je sowieso niks aan zonder server, maar staat gewoon lokaal gesynchroniseerd net als notities en agenda. Eventueel kan je kaarten en muziek deels downloaden maar ook daar gaat natuurlijk nooit het hele aanbod op 1 device passen.
Een andere dienst levert ook diensten op server basis dus daar schiet je helemaal niets mee op.
Veel elektrische auto's gaan al niet eens meer open zonder internet verbinding btw ;)
CerandoX.nl @bzzzt19 maart 2025 12:59
Je begrijpt het punt denk ik niet. Het gaat erom dat als je een probleem met Apple hebt of zij hebben problemen met de dienstverlening, gelijk alles in de knoei kan lopen. Prima dat dit weinig voorkomt en jij dit niet als een probleem ziet, maar sommige mensen kiezen ervoor om hun diensten om die reden te spreiden.
bzzzt
@CerandoX.nl19 maart 2025 13:50
Het nadeel van diensten spreiden is dat je feitelijk meer points of failure maakt tot het nivo dat er altijd wel iets uit ligt. Bovendien mis je ook veel integratie voordelen, nl dat bijvoorbeeld een afspraak in de mail automatisch in de agenda wordt geplaatst en via de kaarten app al bepaald wordt wanneer ik moet vertrekken om op tijd bij die afspraak te zijn.
Daarnaast is voor veel functionaliteit per definitie een online component vereist (denk aan nieuws, weer, verkeer, streaming video) dus risico op server issues kan je niet altijd vermijden.
CerandoX.nl @bzzzt20 maart 2025 08:48
Je mist wel wat integratie voordelen dat zeker, maar op de belangrijkste punten als passwords, mail, kalender en drive integreert het redelijk goed op zowel Mac als Windows. Het voorbeeld wat je schetst werkt ook met een Gmail of Outlook kalender op de Mac. Het wordt moeilijker met bijvoorbeeld third party encrypted mail- of kalenderdiensten.

Risico op server issues zijn zeker niet te vermijden, maar het is niet zo dat als Apple last heeft van een storing, iedereen last heeft van een storing. Jij noemt het multiple points of failure, maar in mijn ogen is het eerder multiple points of access. Het is letterlijk risico spreiden en misschien minimaal risico vergroten.

Ik heb een keer meegemaakt dat ik geen toegang had tot mijn 'single point of failure', dit was niet Apple overigens. Daarna ben ik wat diensten gaan spreiden. Uiteindelijk is het goed gekomen, het was ook weer niet een onoplosbaar probleem. Maar het heeft mij wel doen beseffen om niet alles bij één bedrijf onder te brengen. Daarnaast kijk sindsdien ook naar andere zaken, zoals het land waar het bedrijf gestationeerd is en naar functionaliteit. iCloud Drive kun je bijvoorbeeld niet syncen met een secundaire schijf.

Het is soms een afweging tussen gemak en veiligheid. Je kunt er heel ver in gaan tot het punt dat het heel veilig is, maar vrijwel onwerkbaar. Dus voor iedereen ligt dit punt weer op een andere plaats.
wiseger
@Verwijderd19 maart 2025 10:50
Ook zonder Internet start een Apple device op. Gewoon vergelijkbaar met een auto die tegenwoordig ook 'always on' zijn en een hoop functionaliteit missen indien er geen verbinding met de fabrikant gemaakt kan worden.
turbojet80s @bzzzt19 maart 2025 10:31
Voor mij persoonlijk: Ik vind het prettig om ze min mogelijk vast te zitten aan een fabrikant. Ik ben van iPhone naar Android gegaan, maar later van Windows naar MacOs en recent weer terug naar Windows. Wat ben Ik dankbaar dat in nooit alles bij Apple heb ondergebracht. Ik sta open om te testen. Maar ik wil ook weer makkelijk weg kunnen als het niet goed bevalt.
wiseger
@turbojet80s19 maart 2025 10:53
Dat geldt voor elke fabrikant waar u alles onderbrengt.

Een keuze voor een fabrikant betekend niet dat u vast zit aan alles wat die fabrikant aanbiedt.

U kunt Microsoft Windows gebruiken zonder Outlook email. U kunt Android gebruiken zonder dat Gmail u primaire email is en u kunt een Apple device gebruiken zonder Apple email als primaire email te gebruiken.

En dat geldt voor alles, van de muziek tot Cloud diensten. U zit zelden vast aan de device leverancier als u er niet zelf voor kiest.

[Reactie gewijzigd door wiseger op 19 maart 2025 10:54]

CerandoX.nl @wiseger19 maart 2025 12:56
Dat is nou precies het punt wat turbojet maakt. Hij is blij dat hij niet alle diensten heeft ondergebracht bij één end dezelfde partij. Ik begrijp de verwarring, omdat hij zowel fabrikant als dienstverlener bedoeld.
CerandoX.nl @bzzzt19 maart 2025 12:50
Nee en je vergelijking klopt niet. Het is eerder alsof je een motorfiets naast je auto koopt, maar ze dezelfde motor gebruiken en je voor beide dezelfde sleutel moet gebruiken.

Mocht Apple je om wat voor reden dan ook blokkeren of er gebeurd iets anders, dan heeft dit veel meer impact als je echt alles bij Apple heb staan. Dit geldt overigens ook voor Google en andere diensten. Dus spreiden is in mijn ogen toch wel handig, dan zou je gewoon snel verder kunnen op een ander OS.

Maar goed, het kan ook gewoon zo zijn dat je het niet met mij eens bent.
Verwijderd @bzzzt19 maart 2025 10:07
Bitwarden is gratis, de betaalde versie kost 1€ p/m en dan krijg je extras zoals 2fa bijvoorbeeld.


Ik dacht dat dit wel een duidelijke reden was:

iOS passwords kan je niet op windows machines gebruiken en de passwords exporteren kan al helemaal niet.

Er is een oplossing voor windows waar je itunes ook bij nodig hebt maar het is allemaal zo slecht onderhouden en bare minimum dat het onbruikbaar te verklaren is.

Een iPhone gebruiken is leuk maar totaal afhankelijk zijn van elke apple service vind ik geen slimme zet, zo zie je wel eens server issues of zoals nu security issues.

Er is voor alles zoveel meer te kiezen, je hoeft niet all-in op alles apple apps/services te gaan

[Reactie gewijzigd door Verwijderd op 19 maart 2025 10:09]

bzzzt
@Verwijderd19 maart 2025 10:12
Daarom zei ik ook "Je kan het ook omdraaien: waarom zou je bijbetalen voor een derde-partij oplossing als je alleen een Mac en/of iOS device hebt?"

Als je ook Windows wil gebruiken heeft het uiteraard meerwaarde verder te kijken.
Je kan passwords prima exporteren op een iOS device dus onzin dat dat 'helemaal niet' kan.
Verwijderd @bzzzt19 maart 2025 10:22
Bitwarden is gratis dus dat word niet bijbetalen, mocht je een keer iets moeten doen op een niet mac machine mag je een gegenereerd password overtypen.

Ik zie nu dat ze dit eindelijk toegevoegd hebben aan iOS 18.2

Dit is vrij recent en hiervoor vanaf de introductie van iOS 16 ofz was het dus niet mogelijk.
bzzzt
@Verwijderd19 maart 2025 10:27
Bitwarden is gratis dus dat word niet bijbetalen,
Je zei net nog dat het 1 euro in de maand was voor basis features als 2FA.
Een gratis 'lokkertje' is ook niet altijd handig - heb genoeg diensten gezien die er mee gekapt zijn omdat het te weinig opleverde. Bovendien is het wel een extra partij die je - bovenop Apple - ook moet kunnen vertrouwen dat ze geen issues hebben.
Verwijderd @bzzzt19 maart 2025 10:32
Als ik 5-10 extra partijen gebruik die te vertrouwen zijn zoals bitwarden die ook nog eens opensource is.

Heb ik als er server issues zijn 1 van de 10 apps die niet correct werkt, als je alles van apple gebruikt kan je vrij weinig met alle apps die je gebruikt. Dat wil niet gelijk betekenen dat je op een apparaat de lokale dingen niet meer kan doen maar bijvoorbeeld de synchronisatie kwijt bent van je macbook of de website icloud.com niet kunt gebruiken.
bzzzt
@Verwijderd19 maart 2025 10:49
Hoe is dat anders dan dat bijvoorbeeld Google of Microsoft offline zijn?
Carlos0_0
@Verwijderd19 maart 2025 10:14
IOS password kan je prima op windows gebruiken, gewoon de Icloud app downloaden uit de store.
Je moet alleen wel ingelogd zijn met een Microsoft account, dus een lokaal account kan niet(Je moet windows hello gebruiken dacht ik).
In ieder geval je heb windows hello nodig, als je het zoals ik in firefox wil doen(Dus handmatig kopiëren en plakken). Ik gebruik geen Chromium browsers meer.

Het werkt verder ook alleen met Chromium browsers, en niet met dus bijv Firefox.
Dus ja ik zeg wel het werkt prima, maar op zich valt dit ook wel tegen.
Verwijderd @Carlos0_019 maart 2025 10:24
Ik vond het niet prima werken en vaak werden velden niet herkent of werkte het helemaal niet en daarnaast is er geloof ik wel firefox ondersteuning recentelijk toegevoegd.

Maar de ervaring is zo matig vergeleken met bitwaren of 1password dat apple zich wel mag schamen
Carlos0_0
@Verwijderd19 maart 2025 11:15
Het werkte aan het begin minder goed ja, maar laatste tijd werkte het wel bij mij beter.
Firefox extensie wist ik nog niet, dat ga ik eens proberen nog dan :).
Botmeister @bzzzt19 maart 2025 10:32
Je betaalt bij voor 3rd party oplossingen zodat je minder merkafhankelijk bent. Om de optie open te houden zodat je in de toekomst gemakkelijker over kan stappen naar een niet-Apple merk voor je telefoon/tablet/mac. Apple streeft na dat je in hun ecosysteem blijft en niet iedereen wil dat.
bzzzt
@Botmeister19 maart 2025 10:50
Voor iets triviaals als een password lijst (die vrij eenvoudig te exporteren is) vind ik dat risico nogal laag dus om nu al voor een alternatief te gaan betalen...
TheVivaldi @bzzzt19 maart 2025 10:36
Bijbetalen? Ik heb nog nooit hoeven betalen voor Keepass of Bitwarden (tegenwoordig gebruik ik weer Keepass), en ze werken keurig op een Mac- en iOS-apparaat. Keepass is zelfs volledig onafhankelijk, daar je gewoon een wachtwoordbestand hebt dat je overal mee naartoe kunt nemen.
Die_ene_gast @bzzzt19 maart 2025 11:00
Gratis is bijbetalen? Bijzonder.
Verder, waarom zou je moedwillig een vendorlockin aangaan die je blijkbaar nog kwetsbaar maakt ook.
bzzzt
@Die_ene_gast19 maart 2025 13:43
Je moet maar afwachten wat een gratis product je kost uiteindelijk (het levert niks op dus een leverancier kiest er makkelijker voor er mee te stoppen dan problemen te fixen).
Bovendien: wie zegt dat zo'n alternatieve password manager niet vol met security gaten zit? Ik heb meer vertrouwen in Apple als het aankomt op het optimaal beveiligen van dingen op macOS dan een willekeurige softwarebakker die een password tooltje gebouwd heeft. Bitwarden heeft al 12 CVE's gehad.
Die_ene_gast @bzzzt20 maart 2025 10:02
Blijkbaar zit dat vertrouwen ernaast, zie dit nieuws artikel.
Verder is FLOSS niet iets waar je bang voor moet zijn.
Blaatpraat @Verwijderd19 maart 2025 10:05
Vroeger misschien wel. Daarom dat ik het ook niet gebruik persoonlijk (maar wel een iOS device als primary smartphone heb).
Maar onlangs ontdekt dat deze manager ook gewoon werkt met andere toestellen, toen ik iemand moest helpen...
Soepstengel @Verwijderd19 maart 2025 10:46
Apple Passwords kan je wel op Windows gebruiken, het werkt alleen nog niet in Firefox.
g4wx3 @Verwijderd19 maart 2025 16:02
Waarom Apple kopen als je niet de voordelen wil van het ecosysteem.
Kan je evengoed een Linux-based-distro (of arch) installeren, en al je tools cherrypicken.
Ventieldopje 19 maart 2025 09:53
Fijn dat dit dan ook weer zo'n ingebakken app is en je een iOS update moet doen om het gefixt te krijgen. Als ze dan dit soort apps uitbrengen, prima ... maar zorg dan dat ze los te updaten zijn ;)
bzzzt
@Ventieldopje19 maart 2025 10:05
Dat komt omdat Apple Signed System Volumes gebruikt waardoor het stukken moeilijker wordt dat bepaalde specifieke tools vervangen worden door exemplaren met malware. Een password manager is wel een tool waar je maximaal op wil kunnen vertrouwen.
Ventieldopje @bzzzt19 maart 2025 10:25
De apps zelf zijn ook ge-signed, zo beschermen ze apps op MacOS ook. Als er ook maar iets mee gebeurt dan start de app niet of krijg je een melding.

Ik snap dat zo'n read-only signed volume (wat ze overigens óók op MacOS gebruiken) veilig is, maar ergens moet je een beetje een balans vinden.

Het is zeker niet zo dat deze password app ineens een heel stuk veiliger is dan andere befaamde password managers, puur omdat deze op dat volume staat.

[Reactie gewijzigd door Ventieldopje op 19 maart 2025 10:27]

bzzzt
@Ventieldopje19 maart 2025 10:27
Klopt, maar je wil niet op 1 check vertrouwen. Defense in depth concept.
Aalard99 19 maart 2025 10:02
Het baart me zorgen dat dit in het Apple ecosysteem zat. Gelukkig opgelost maar wel een slordige fout in de code die voor een groot risico zorgde bij de gebruikers.

Het laat ook zien dat onbeveiligde wifinetwerken in dit soort gevallen echt wel een risico kunnen vormen, al zit de vulnerability in de applicatie het netwerk beveiligen maakt dit soort aanvallen lastiger.
eazyq 19 maart 2025 09:46
Lekker dan als je op Apple security vertrouwd
wiseger
@eazyq19 maart 2025 10:48
Dat valt wel mee:
Daardoor konden kwaadwillenden met privileged network access, bijvoorbeeld via openbare wifinetwerken, het onbeveiligde browseverkeer onderscheppen en de gebruiker omleiden naar een phishingwebsite.
Is sinds december opgelost.
eilavid 19 maart 2025 09:49
Amateur hour

Apple verplicht al jaren in de App Store HTTPS voor alle devs en wordt er strak gecontroleerd, maar in hun eigen apps....
Die_ene_gast @eilavid19 maart 2025 11:01
Maar, daar betaal je ook naar he! Als het nou ging om hele dure producten zou ik je gelijk geven, maar je zeurt nu over dat budget spul geen premium kwaliteit heeft.
bhartman @eilavid19 maart 2025 17:08
Wat een interessante bevinding is. Kennelijk behandeld Apple haar eigen apps anders dan alle apps in de appstore. Dat is dus wel een DSA dingetje…..
Annihlator 19 maart 2025 12:55
Gelukkig had het maar x jaar eerder kunnen opvallen als apple meer inzage gaf in haar broncode die, uiteindelijk, terugslaat op BEVEILIGINGSINFRASTRUCTUUR.

Maar gelukkig verklaren de mensen die wel blind zo veel vertrouwen erin leggen mij steevast voor gek 8)7
grimlock @LTwinter19 maart 2025 10:35
Hoe kan je dat zien? Of roep je gewoon iets?
LTwinter @grimlock19 maart 2025 10:38
Als je op dat cijfertje in de rechter bovenhoek klikt kun je de moderatie zien. Fijn dat ik kon helpen.
grimlock @LTwinter20 maart 2025 10:37
Leuk, maar het beantwoordt mijn vraag nog niet. Hoe kom je tot de conclusie dat het "Apple Fanboys" zijn? En dan graag zonder je alfa gedrag in je reactie? En die -1 geeft denk ik al genoeg aan...
d1xi @LTwinter19 maart 2025 10:40
En dat dan de Apple-fanboy-haters daar weer eens wat van vinden ;-)
svane @LTwinter19 maart 2025 12:34
Jij bent letterlijk de enige die op dit moment -1 staat, en dat is omdat op compleet de verkeerde plek aan het klagen bent over mismoderatie. Dat mag je hier doen, fijn dat ik kon helpen.

Waar zijn die zogenaamde 'Apple fanboys'?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq