Har du noen gang trodd at iPhone-appene dine er trygge? En sjokkerende app security breach har nettopp blitt avslørt, og tallene er alarmerende. Nye undersøkelser viser at tusenvis av iOS-apper godkjent av Apple inneholder skjulte sikkerhetsfeil. Vi har oppdaget at hele 71% av appene lekket minst én hemmelighet, med et gjennomsnitt på fem hemmeligheter per app.
Faktisk har forskere funnet over 815 000 skjulte hemmeligheter i appkoder. Dette problemet strekker seg over flere typer applikasjoner, inkludert populære kategorier som meldingstjenester og finansapper. Lignende sikkerhetsproblemer som cash app security breach og signal app security breach blir stadig mer utbredt. Dessuten viser studier at nesten én av fem iOS-apper kan få tilgang til din iPhone-adressebok, og 41 prosent kan spore din posisjon. Det som er enda mer bekymringsfullt er at mer enn én av tre apper lagrer brukerdata uten å kryptere den.
Omfanget av denne lekkasjen er enorm. Mer enn 78 000 iOS-apper inneholdt direkte lenker til skybøtter for lagring, noe som har ført til over 76 milliarder eksponerte filer og mer enn 406 terabyte med lekket data. Spesielt ille er «Chat & Ask AI by Codeway» som har eksponert over 406 millioner filer og poster, inkludert hele chathistorikken til over 18 millioner brukere, totalt 380 millioner meldinger.
Forskere avslører massive sikkerhetshull i iOS-apper
Omfattende sikkerhetsstudier avslører alarmerende trender i mobilapp-sikkerhet. Undersøkelser viser at hele 90% av iOS-applikasjonene har minst én sikkerhetssårbarhet. Dessuten mangler 86% av appene som får tilgang til private data tilstrekkelige sikkerhetstiltak. Dette representerer en betydelig app security breach som påvirker millioner av iPhone-brukere.
Særlig bekymringsfullt er at 75% av appene ikke krypterer personlig informasjon, inkludert passord, før lagring på enheten. Samtidig sender 18% av appene data over nettverket uten SSL-kryptering. Sammenlignet med lignende problemer som signal app security breach og cash app security breach, er omfanget av iOS-sårbarheter betydelig større.
Forskerne identifiserte flere kritiske sårbarhetstyper. Blant disse var betalingsprosessor-nøkler som kunne utnyttes til uautoriserte transaksjoner. De oppdaget også cirka 83 000 hardkodede skybøtte-endepunkter, hvorav 836 manglet autentiseringstiltak. I tillegg ble over 51 000 Firebase-endepunkter identifisert, mange uten tilstrekkelig autentisering.
Spesielt bekymringsfullt er at 60% av iOS-appene mangler beskyttelse mot omvendt utvikling, noe som gjør det enkelt for angripere å hente ut sensitive nøkler. Dette problemet strekker seg over forskjellige bransjer, fra produktivitetsverktøy til finanstjenester og e-handelsplattformer.
Skylagring og AI-apper eksponerer milliarder av brukerdata
Blant de mest utsatte applikasjonene finner vi AI-apper, som utgjør en alarmerende sikkerhetsrisiko. Nye undersøkelser fra CovertLabs viser at hele 198 iOS AI-apper lekker brukernes data, hvorav 196 aktivt eksponerer brukerinformasjon. «Chat & Ask AI», som hevder å ha over 50 millioner brukere, har eksponert over 406 millioner poster fra 18 millioner brukere, inkludert 380 millioner komplette chatmeldinger.
Årsaken til disse lekkasjene er hovedsakelig feilkonfigurerte skydatabaser og skylagring. Faktisk er dataene offentlig tilgjengelige for alle som vet hva de skal lete etter. Forskerne avdekket at Chat & Ask AI hadde tilgang til 300 millioner meldinger fra mer enn 25 millioner brukere i den eksponerte databasen.
Spesielt bekymringsfullt er at 4,3% av Firebase-databaselinker var ubeskyttet, noe som eksponerte 19,8 millioner private poster. YPT-Study Group, en annen populær app, eksponerer data fra over to millioner brukere, inkludert AI-tokens, bruker-ID-er og chatinnhold.
I tillegg til personlig data, avslører lekkasjene sensitive spørringer til AI-assistenter om selvmord, narkotikaproduksjon og hacking. Elon Musks Grok-chatbot viste lignende problemer da nesten 300 000 samtaler ble indeksert i Google-søkeresultater.
Problemet forverres ettersom AI-markedet vokser raskt – det er forventet å nå 11,01 billioner kroner innen 2030. Utviklere haster med å lansere AI-apper uten tilstrekkelige sikkerhetstiltak.
Apples godkjenningsprosess svikter – og brukerne betaler prisen
Til tross for Apples strenge markedsføring av App Store som et «trygt sted» for brukere, avslører nyere forskning alvorlige mangler i godkjenningsprosessen. Faktisk skanner ikke Apples App Store-gjennomgang appkoden for skjulte hemmeligheter. Selv om apper gjennomgår vurdering før de blir tilgjengelige, kan de passere kontrollen hvis de oppfører seg normalt under testing – selv med sensitive nøkler skjult i filene.
Ifølge Apples egen åpenhetsrapport for 2024 ble cirka 7,77 millioner appsøknader gjennomgått, hvorav 1,93 millioner ble avvist. Dette betyr at nesten én av fire innsendinger blir avvist – likevel slipper apper med alvorlige sikkerhetshull fortsatt gjennom. Omtrent 40% av avvisningene handler om «App-fullstendighet», men ikke om hardkodede hemmeligheter.
For brukerne er konsekvensene alvorlige. Lekket data kan føre til uautorisert tilgang til personlig informasjon, finansiell informasjon og sensitive kommunikasjoner. I verste fall kan angripere bruke kompromitterte iOS-enheter som inngangsportal til større nettverk, noe som resulterer i driftsavbrudd og kostbare nedetider.
Særlig bekymringsfullt er funnet av 19 Stripe-hemmelige nøkler som direkte kontrollerer finansielle transaksjoner. En kompromittert Stripe-nøkkel kan brukes av angripere til å utføre betalinger, refusjoner, og liste brukerinformasjon som faktureringsadresser, navn og betalingsinformasjon.
Apple kunne løst disse problemene ved å integrere statisk hemmelighetsdeteksjon i App Store-gjennomgangsprosessen og tilby bedre verktøy i Xcode, noe som ville varslet utviklere når hemmeligheter er hardkodet. Inntil da forblir brukernes data sårbar for misbruk.
Konklusjon
Sammenlaget viser disse funnene et skremmende bilde av personvernsikkerheten i iOS-økosystemet. Faktisk står vi overfor en av de største sikkerhetsskandalene i Apples historie, med milliarder av datafiler og personlige opplysninger tilgjengelig for hvem som helst med teknisk kunnskap. Derfor må vi som brukere stille spørsmål ved Apples løfte om sikkerhet og beskyttelse.
Tallene taler for seg selv: 71% av appene lekker hemmeligheter, 90% har sikkerhetssårbarheter, og 75% krypterer ikke personlig informasjon. Spesielt bekymringsfullt er situasjonen med AI-apper som «Chat & Ask AI», der hele 406 millioner filer og 380 millioner meldinger har blitt eksponert.
Apple har unektelig sviktet i sin rolle som portvakt. Selskapet markedsfører App Store som et trygt sted, men skanner ikke engang appkoden for skjulte hemmeligheter under godkjenningsprosessen. Vi ser nå konsekvensene av denne forsømmelsen – millioner av brukere har fått sine data kompromittert, uten å vite det.
Hva betyr dette for deg? Dine private samtaler, betalingsinformasjon og personlige data kan ligge åpent tilgjengelig på internett akkurat nå. Dessuten kan angripere potensielt utnytte disse sårbarhetene for å få tilgang til enda mer sensitiv informasjon.
Inntil Apple tar ansvar og implementerer strengere sikkerhetskontroller, bør vi alle være ekstra varsomme med hvilke apper vi laster ned og hvilken informasjon vi deler gjennom dem. Sannheten er at iPhone-enhetene våre kanskje ikke er så trygge som vi har blitt ledet til å tro.