Abo
  • Services:
Anzeige
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt.
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt. (Bild: Luyi Xing)

Security: Zero-Days in Mac OS X und iOS veröffentlicht

Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt.
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt. (Bild: Luyi Xing)

Mangelnde Sicherheitsüberprüfungen in Mac OS X und iOS machen es Malware einfach, Passwörter oder andere kritischen Daten auszulesen. IT-Sicherheitsforschern ist es sogar gelungen, Schadsoftware in Apples App Store zu platzieren.

Anzeige

Selbst aus einer abgeschotteten Umgebung ist es IT-Sicherheitsforschern gelungen, mit eigens erstellten Apps Passwörter auszulesen oder sich die Zugangsdaten zur iCloud zu verschaffen. Grund dafür sollen unzureichende Sicherheitsüberprüfungen in der Kommunikation von Apps mit dem Betriebssystem und untereinander sein. Die sechs Forscher von den Universitäten Indiana, Georgia und Peking bezeichnen ihre Befunde als "gravierend".

Bereits vor sechs Monaten sei Apple informiert worden. Dort seien die Schwachstellen zwar bestätigt, die Lücken jedoch nur unzureichend oder gar nicht geschlossen worden. Aber auch App-Entwickler hätten Fehler gemacht, sagten die Forscher. Grund dafür sei eine unzureichende Informationspolitik von Seiten Apples, das über bestehende Sicherheitsfunktionen nicht informiere und offenbar Apps auch nicht daraufhin überprüfe. Selbst die Prüfmechanismen für die Zulassung zum Apple Store hätten versagt, denn den Forschern sei es gelungen, ihre präparierten Apps ohne Weiteres dort einzuschleusen.

Unter dem Namen Cross-App Resource Access oder kurz Xara haben die Forscher gleich mehrere Schwachstellen in Mac OS X und iOS beschrieben. Im Detail geht es darum, wie Apps trotz Abschottung in einer Sandbox unbefugt auf die Daten anderer Apps zugreifen können.

So sei es den Forschern gelungen, von ihrer App aus über Manipulationen am Dienst Schlüsselbund, der Passwortverwaltung unter Mac OS X, Zugangsdaten auszulesen, die von der Systemeinstellung Internetaccounts verwaltet werden. Dazu gehörten sowohl iCloud-Tokens als auch Zugangsdaten zu sozialen Netzwerken oder E-Mail-Konten. Allerdings muss die Malware zunächst selbst die Apple-ID, also die E-Mail-Adresse eines Benutzers, kennen und anschließend ein Password-Item erstellen, bevor ein anderer Dienst auf das iCloud-Konto zugreifen will. Gelingt das, legt das Betriebssystem das iCloud-Token in dem von der Malware erstellen Passwort-Item ab.

Apple habe zwar in Mac OS X 10.10.3 und der Beta von 10.10.4 die Richtlinien für den Zugang zum iCloud-Konto geändert. Statt der Apple-ID wird jetzt eine zufällige neunstellige Ziffer verwendet. Allerdings verwenden andere Dienste wie Gmail weiterhin die E-Mail zur Identifizierung. Außerdem entdeckten die Forscher danach eine neue Schwachstelle, mit der sie sich weiterhin Zugang zum iCloud-Konto verschaffen können. Sie arbeiten gegenwärtig mit Apple zusammen, um auch diese Schwachstelle zu beseitigen.

Jede App bekommt eine eindeutige BundleID zugewiesen. Anhand dieser wird auch der Container der App eingerichtet, wenn sie installiert wird. Die Forscher entdeckten jedoch, dass die BIDs der in der App integrierten Subprogramme nicht überprüft werden. So konnten sie dem Unterprogramm für den Zugriff auf Dienst für die Interprozesskommunikation XPC eine BID eines anderen Programms zuweisen. Darüber verschafften sich die Experten beispielsweise Zugriff auf den Container der App Evernote und konnten dort sämtlicher Notizen und Kontakte habhaft werden.

Auch andere Kommunikationsdienste seien unsicher, sagten die Forscher, etwa NSConnection oder Websocket. Beide böten keine Möglichkeit der Authentifizierung. Daher sei es einfach, eine gefälschte NSConnection-Verbindung zu einer anderen App aufzubauen. Außerdem gelang es den Forschern, einen Websocket-Server mit dem Port aufzubauen, über den normalerweise die Passwortverwaltung 1Password kommuniziert. So konnten sie jedes Passwort abgreifen, das gerade eingegeben wurde, egal ob das im Browser Chrome, Firefox oder Safari geschah. Auch die dafür von den Forschern entwickelte App bestand die Prüfung für die Zulassung zum Apple Store anstandslos.

Die bisher beschriebenen Angriffe funktionieren indes nur unter Mac OS X. Unter iOS fanden die Forscher jedoch ebenfalls eine Schwachstelle in Form eines Angriffs über URL-Schemata, die auch unter Mac OS X funktioniert. Ihre Malware beanspruchte beispielsweise das Schemata für die Facebook-Anmeldung für sich. Danach starteten sie Pinterest. Die App authentifizierte sich über Facebook, welches das Token aber zunächst an die Malware weiterleitete. Die wiederum leitete das Token an Pinterest weiter und blieb so unentdeckt. Hier helfe der bereits verfügbarer API-Aufruf openURL:sourceApplication in der Pinterest-App, den es allerdings nur für iOS gebe. Außerdem weise Apple Entwickler nirgends darauf hin, dass sie sich so schützen könnten.

Die Forscher haben über 1.600 Mac- und iOS-Apps untersucht und festgestellt, das mehr als 88 Prozent mindestens für eine der entdeckten Schwachstellen anfällig sind. Sie schlagen die Entwicklung eines Scanners vor, der zweifelhafte Verbindungen meldet.


eye home zur Startseite
humpfor 18. Jun 2015

Das hast du bei JEDER Cloud..

Phreeze 18. Jun 2015

bevor du ne wall of text schreibst: ERKENNE DIE IRONIE

AllAgainstAds 18. Jun 2015

Sehe ich genau so und Danke für den Hinweiß auf die Heuristik, das war mir doch...

AllAgainstAds 18. Jun 2015

das die Zwangslage erkennt und zumindest erst einmal ein Statement...

Cassiel 18. Jun 2015

Und zwar aus dem folgenden Grund: Keychain arbeitet grob gesagt nach dem folgenden...



Anzeige

Stellenmarkt
  1. macio GmbH, Kiel und Karlsruhe
  2. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen
  3. ORANGE Engineering, Berlin
  4. Garz & Fricke GmbH, Hamburg


Anzeige
Spiele-Angebote
  1. (-23%) 61,99€
  2. 69,99€ (Release 31.03.)
  3. (-75%) 4,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  2. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  3. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  4. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  5. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  6. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  7. Internetzensur

    China macht VPN genehmigungspflichtig

  8. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  9. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  10. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  2. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"
  3. US-Wahl US-Geheimdienste warnten Trump vor Erpressung durch Russland

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

  1. Re: Gefährlich, wenn sich Dein Auto plötzlich...

    nexusbs | 03:45

  2. ganz einfach

    nexusbs | 03:35

  3. Re: Na und?

    nachgefragt | 02:52

  4. Re: Schade, dass es keinen Kommunismus in China gibt

    Yash | 02:48

  5. Re: Rollenspiele sind out

    divStar | 02:01


  1. 18:19

  2. 17:28

  3. 17:07

  4. 16:55

  5. 16:49

  6. 16:15

  7. 15:52

  8. 15:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel