Anzeige
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt.
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt. (Bild: Luyi Xing)

Security: Zero-Days in Mac OS X und iOS veröffentlicht

Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt.
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt. (Bild: Luyi Xing)

Mangelnde Sicherheitsüberprüfungen in Mac OS X und iOS machen es Malware einfach, Passwörter oder andere kritischen Daten auszulesen. IT-Sicherheitsforschern ist es sogar gelungen, Schadsoftware in Apples App Store zu platzieren.

Anzeige

Selbst aus einer abgeschotteten Umgebung ist es IT-Sicherheitsforschern gelungen, mit eigens erstellten Apps Passwörter auszulesen oder sich die Zugangsdaten zur iCloud zu verschaffen. Grund dafür sollen unzureichende Sicherheitsüberprüfungen in der Kommunikation von Apps mit dem Betriebssystem und untereinander sein. Die sechs Forscher von den Universitäten Indiana, Georgia und Peking bezeichnen ihre Befunde als "gravierend".

Bereits vor sechs Monaten sei Apple informiert worden. Dort seien die Schwachstellen zwar bestätigt, die Lücken jedoch nur unzureichend oder gar nicht geschlossen worden. Aber auch App-Entwickler hätten Fehler gemacht, sagten die Forscher. Grund dafür sei eine unzureichende Informationspolitik von Seiten Apples, das über bestehende Sicherheitsfunktionen nicht informiere und offenbar Apps auch nicht daraufhin überprüfe. Selbst die Prüfmechanismen für die Zulassung zum Apple Store hätten versagt, denn den Forschern sei es gelungen, ihre präparierten Apps ohne Weiteres dort einzuschleusen.

Unter dem Namen Cross-App Resource Access oder kurz Xara haben die Forscher gleich mehrere Schwachstellen in Mac OS X und iOS beschrieben. Im Detail geht es darum, wie Apps trotz Abschottung in einer Sandbox unbefugt auf die Daten anderer Apps zugreifen können.

So sei es den Forschern gelungen, von ihrer App aus über Manipulationen am Dienst Schlüsselbund, der Passwortverwaltung unter Mac OS X, Zugangsdaten auszulesen, die von der Systemeinstellung Internetaccounts verwaltet werden. Dazu gehörten sowohl iCloud-Tokens als auch Zugangsdaten zu sozialen Netzwerken oder E-Mail-Konten. Allerdings muss die Malware zunächst selbst die Apple-ID, also die E-Mail-Adresse eines Benutzers, kennen und anschließend ein Password-Item erstellen, bevor ein anderer Dienst auf das iCloud-Konto zugreifen will. Gelingt das, legt das Betriebssystem das iCloud-Token in dem von der Malware erstellen Passwort-Item ab.

Apple habe zwar in Mac OS X 10.10.3 und der Beta von 10.10.4 die Richtlinien für den Zugang zum iCloud-Konto geändert. Statt der Apple-ID wird jetzt eine zufällige neunstellige Ziffer verwendet. Allerdings verwenden andere Dienste wie Gmail weiterhin die E-Mail zur Identifizierung. Außerdem entdeckten die Forscher danach eine neue Schwachstelle, mit der sie sich weiterhin Zugang zum iCloud-Konto verschaffen können. Sie arbeiten gegenwärtig mit Apple zusammen, um auch diese Schwachstelle zu beseitigen.

Jede App bekommt eine eindeutige BundleID zugewiesen. Anhand dieser wird auch der Container der App eingerichtet, wenn sie installiert wird. Die Forscher entdeckten jedoch, dass die BIDs der in der App integrierten Subprogramme nicht überprüft werden. So konnten sie dem Unterprogramm für den Zugriff auf Dienst für die Interprozesskommunikation XPC eine BID eines anderen Programms zuweisen. Darüber verschafften sich die Experten beispielsweise Zugriff auf den Container der App Evernote und konnten dort sämtlicher Notizen und Kontakte habhaft werden.

Auch andere Kommunikationsdienste seien unsicher, sagten die Forscher, etwa NSConnection oder Websocket. Beide böten keine Möglichkeit der Authentifizierung. Daher sei es einfach, eine gefälschte NSConnection-Verbindung zu einer anderen App aufzubauen. Außerdem gelang es den Forschern, einen Websocket-Server mit dem Port aufzubauen, über den normalerweise die Passwortverwaltung 1Password kommuniziert. So konnten sie jedes Passwort abgreifen, das gerade eingegeben wurde, egal ob das im Browser Chrome, Firefox oder Safari geschah. Auch die dafür von den Forschern entwickelte App bestand die Prüfung für die Zulassung zum Apple Store anstandslos.

Die bisher beschriebenen Angriffe funktionieren indes nur unter Mac OS X. Unter iOS fanden die Forscher jedoch ebenfalls eine Schwachstelle in Form eines Angriffs über URL-Schemata, die auch unter Mac OS X funktioniert. Ihre Malware beanspruchte beispielsweise das Schemata für die Facebook-Anmeldung für sich. Danach starteten sie Pinterest. Die App authentifizierte sich über Facebook, welches das Token aber zunächst an die Malware weiterleitete. Die wiederum leitete das Token an Pinterest weiter und blieb so unentdeckt. Hier helfe der bereits verfügbarer API-Aufruf openURL:sourceApplication in der Pinterest-App, den es allerdings nur für iOS gebe. Außerdem weise Apple Entwickler nirgends darauf hin, dass sie sich so schützen könnten.

Die Forscher haben über 1.600 Mac- und iOS-Apps untersucht und festgestellt, das mehr als 88 Prozent mindestens für eine der entdeckten Schwachstellen anfällig sind. Sie schlagen die Entwicklung eines Scanners vor, der zweifelhafte Verbindungen meldet.


eye home zur Startseite
humpfor 18. Jun 2015

Das hast du bei JEDER Cloud..

Phreeze 18. Jun 2015

bevor du ne wall of text schreibst: ERKENNE DIE IRONIE

AllAgainstAds 18. Jun 2015

Sehe ich genau so und Danke für den Hinweiß auf die Heuristik, das war mir doch...

AllAgainstAds 18. Jun 2015

das die Zwangslage erkennt und zumindest erst einmal ein Statement...

Cassiel 18. Jun 2015

Und zwar aus dem folgenden Grund: Keychain arbeitet grob gesagt nach dem folgenden...

Kommentieren



Anzeige

  1. Software Development Engineer C++ (m/w) Low Frequency Solver Technology
    CST - Computer Simulation Technology AG, Darmstadt
  2. Webentwickler ASP.NET4 (m/w)
    T-Systems on site services GmbH, Wilhelmshaven
  3. IT-Architekt (m/w) Security-Lösungen
    Zurich Gruppe Deutschland, Köln
  4. ITK-Administrator/in
    Stadt Soltau, Soltau

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)
  2. Steelbooks zum Aktionspreis
    (u. a. Game of Thrones Staffeln 1 u. 2 mit Magnetsiegeln für je 21,97€)
  3. 3 Blu-rays für 18 EUR
    (u. a. Rache für Jesse James, Runaway, The Wanderers)

Weitere Angebote


Folgen Sie uns
       


  1. 100 MBit/s

    Telekom stattet zwei Städte mit Vectoring aus

  2. Sprachassistent

    Voßhoff will nicht mit Siri sprechen

  3. Sailfish OS

    Jolla bringt exklusives Smartphone nur für Entwickler

  4. Projektkommunikation

    Tausende Github-Nutzer haben Kontaktprobleme

  5. Lebensmittel-Lieferdienst

    Amazon Fresh soll doch in Deutschland starten

  6. Buglas

    Verband kritisiert Rückzug der Telekom bei Fiber To The Home

  7. Apple Store

    Apple darf keine Geschäfte in Indien eröffnen

  8. Mitsubishi MRJ90 und MRJ70

    Japans Regionaljet ist erst der Anfang

  9. Keysweeper

    FBI warnt vor Spion in USB-Ladegerät

  10. IBM-Markenkooperation

    Warum Watson in die Sesamstraße zieht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Hack von Rüstungskonzern Schweizer Cert gibt Security-Tipps für Unternehmen
  2. APT28 Hackergruppe soll CDU angegriffen haben
  3. Veröffentlichung privater Daten AfD sucht mit Kopfgeld nach "Datendieb"

  1. Re: Irgendwie kann man wieder gleich beim PC...

    Andi K. | 06:25

  2. Re: Preisfrage

    trapperjohn | 06:23

  3. Re: Dann soll Google ihr Android Update System...

    exxo | 06:10

  4. Re: Ist eine interessante Praxis

    flauschi123 | 05:52

  5. Re: Ist das die Schwester von Merkel?

    Fuzzy Dunlop | 05:20


  1. 19:05

  2. 17:50

  3. 17:01

  4. 14:53

  5. 13:39

  6. 12:47

  7. 12:30

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel