Door een ernstig beveiligingslek in zowel iOS als OS X zijn wachtwoorden die staan opgeslagen in de wachtwoordbeheerder van Apple, de iCloud-sleutelhanger, te kraken.

In de iCloud-sleutelhanger staan inloggegevens die door meerdere apps worden gedeeld. Het beveiligingsmechanisme was te omzeilen met behulp van kwaadaardige apps. Die wisten de onderzoekers in Apple’s App Stores te krijgen, de apps werden niet door Apple als schadelijk gezien.

Met de malafide apps konden ze vervolgens data stelen van andere apps. In een steekproef bleek dat bij 88 procent van de iOS- en OS X-apps mogelijk, zegt Bright. Het lek zit nog steeds in iOS en OS X. De onderzoekers meldden het probleem al in oktober 2014 bij Apple, dat om een half jaar de tijd vroeg om de problemen aan te pakken. Vervolgens liet Apple niets meer van zich horen.

Wanneer een gebruiker een apparaat voor het eerst opstart of het besturingssysteem opnieuw installeert vraagt Apple of hij of zij de wachtwoordbeheerder wil inschakelen. App-ontwikkelaars kunnen zelf wel maatregelen nemen om de kans op dit type aanvallen te verkleinen, maar tegenhouden is nog niet mogelijk.