Abo
  • Services:
Anzeige
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt.
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt. (Bild: Luyi Xing)

Security: Zero-Days in Mac OS X und iOS veröffentlicht

Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt.
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt. (Bild: Luyi Xing)

Mangelnde Sicherheitsüberprüfungen in Mac OS X und iOS machen es Malware einfach, Passwörter oder andere kritischen Daten auszulesen. IT-Sicherheitsforschern ist es sogar gelungen, Schadsoftware in Apples App Store zu platzieren.

Anzeige

Selbst aus einer abgeschotteten Umgebung ist es IT-Sicherheitsforschern gelungen, mit eigens erstellten Apps Passwörter auszulesen oder sich die Zugangsdaten zur iCloud zu verschaffen. Grund dafür sollen unzureichende Sicherheitsüberprüfungen in der Kommunikation von Apps mit dem Betriebssystem und untereinander sein. Die sechs Forscher von den Universitäten Indiana, Georgia und Peking bezeichnen ihre Befunde als "gravierend".

Bereits vor sechs Monaten sei Apple informiert worden. Dort seien die Schwachstellen zwar bestätigt, die Lücken jedoch nur unzureichend oder gar nicht geschlossen worden. Aber auch App-Entwickler hätten Fehler gemacht, sagten die Forscher. Grund dafür sei eine unzureichende Informationspolitik von Seiten Apples, das über bestehende Sicherheitsfunktionen nicht informiere und offenbar Apps auch nicht daraufhin überprüfe. Selbst die Prüfmechanismen für die Zulassung zum Apple Store hätten versagt, denn den Forschern sei es gelungen, ihre präparierten Apps ohne Weiteres dort einzuschleusen.

Unter dem Namen Cross-App Resource Access oder kurz Xara haben die Forscher gleich mehrere Schwachstellen in Mac OS X und iOS beschrieben. Im Detail geht es darum, wie Apps trotz Abschottung in einer Sandbox unbefugt auf die Daten anderer Apps zugreifen können.

So sei es den Forschern gelungen, von ihrer App aus über Manipulationen am Dienst Schlüsselbund, der Passwortverwaltung unter Mac OS X, Zugangsdaten auszulesen, die von der Systemeinstellung Internetaccounts verwaltet werden. Dazu gehörten sowohl iCloud-Tokens als auch Zugangsdaten zu sozialen Netzwerken oder E-Mail-Konten. Allerdings muss die Malware zunächst selbst die Apple-ID, also die E-Mail-Adresse eines Benutzers, kennen und anschließend ein Password-Item erstellen, bevor ein anderer Dienst auf das iCloud-Konto zugreifen will. Gelingt das, legt das Betriebssystem das iCloud-Token in dem von der Malware erstellen Passwort-Item ab.

Apple habe zwar in Mac OS X 10.10.3 und der Beta von 10.10.4 die Richtlinien für den Zugang zum iCloud-Konto geändert. Statt der Apple-ID wird jetzt eine zufällige neunstellige Ziffer verwendet. Allerdings verwenden andere Dienste wie Gmail weiterhin die E-Mail zur Identifizierung. Außerdem entdeckten die Forscher danach eine neue Schwachstelle, mit der sie sich weiterhin Zugang zum iCloud-Konto verschaffen können. Sie arbeiten gegenwärtig mit Apple zusammen, um auch diese Schwachstelle zu beseitigen.

Jede App bekommt eine eindeutige BundleID zugewiesen. Anhand dieser wird auch der Container der App eingerichtet, wenn sie installiert wird. Die Forscher entdeckten jedoch, dass die BIDs der in der App integrierten Subprogramme nicht überprüft werden. So konnten sie dem Unterprogramm für den Zugriff auf Dienst für die Interprozesskommunikation XPC eine BID eines anderen Programms zuweisen. Darüber verschafften sich die Experten beispielsweise Zugriff auf den Container der App Evernote und konnten dort sämtlicher Notizen und Kontakte habhaft werden.

Auch andere Kommunikationsdienste seien unsicher, sagten die Forscher, etwa NSConnection oder Websocket. Beide böten keine Möglichkeit der Authentifizierung. Daher sei es einfach, eine gefälschte NSConnection-Verbindung zu einer anderen App aufzubauen. Außerdem gelang es den Forschern, einen Websocket-Server mit dem Port aufzubauen, über den normalerweise die Passwortverwaltung 1Password kommuniziert. So konnten sie jedes Passwort abgreifen, das gerade eingegeben wurde, egal ob das im Browser Chrome, Firefox oder Safari geschah. Auch die dafür von den Forschern entwickelte App bestand die Prüfung für die Zulassung zum Apple Store anstandslos.

Die bisher beschriebenen Angriffe funktionieren indes nur unter Mac OS X. Unter iOS fanden die Forscher jedoch ebenfalls eine Schwachstelle in Form eines Angriffs über URL-Schemata, die auch unter Mac OS X funktioniert. Ihre Malware beanspruchte beispielsweise das Schemata für die Facebook-Anmeldung für sich. Danach starteten sie Pinterest. Die App authentifizierte sich über Facebook, welches das Token aber zunächst an die Malware weiterleitete. Die wiederum leitete das Token an Pinterest weiter und blieb so unentdeckt. Hier helfe der bereits verfügbarer API-Aufruf openURL:sourceApplication in der Pinterest-App, den es allerdings nur für iOS gebe. Außerdem weise Apple Entwickler nirgends darauf hin, dass sie sich so schützen könnten.

Die Forscher haben über 1.600 Mac- und iOS-Apps untersucht und festgestellt, das mehr als 88 Prozent mindestens für eine der entdeckten Schwachstellen anfällig sind. Sie schlagen die Entwicklung eines Scanners vor, der zweifelhafte Verbindungen meldet.


eye home zur Startseite
humpfor 18. Jun 2015

Das hast du bei JEDER Cloud..

Phreeze 18. Jun 2015

bevor du ne wall of text schreibst: ERKENNE DIE IRONIE

AllAgainstAds 18. Jun 2015

Sehe ich genau so und Danke für den Hinweiß auf die Heuristik, das war mir doch...

AllAgainstAds 18. Jun 2015

das die Zwangslage erkennt und zumindest erst einmal ein Statement...

Cassiel 18. Jun 2015

Und zwar aus dem folgenden Grund: Keychain arbeitet grob gesagt nach dem folgenden...



Anzeige

Stellenmarkt
  1. ekom21 - KGRZ Hessen, Kassel
  2. Daimler AG, Affalterbach
  3. Dataport, Hamburg
  4. Daimler AG, Ulm


Anzeige
Hardware-Angebote
  1. beim Kauf ausgewählter Gigabyte-Mainboards
  2. 362,26€ mit Coupon CHMI5S (keine Versand- und Zollkosten mit Priority Line)
  3. 733,59€ (keine Versand- und Zollkosten mit Priority Line)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Landgericht Traunstein

    Postfach im Impressum einer Webseite nicht ausreichend

  2. Big-Jim-Sammelfiguren

    Ebay-Verkäufer sind ehrlich geworden

  3. Musikstreaming

    Soundcloud startet Abo-Service in Deutschland

  4. Frankreich

    Filmförderung über "Youtube-Steuer"

  5. Galaxy S8

    Samsung will auf Klinkenbuchse verzichten

  6. Asteroid OS

    Erste Alpha-Version von offenem Smartwatch-OS veröffentlicht

  7. Bemannte Raumfahrt

    Esa liefert ein zweites Servicemodul für Orion

  8. Bundesverwaltungsgericht

    Firmen müssen Rundfunkbeitrag zahlen

  9. Zenbook 3 im Test

    Macbook-Konkurrenz mit kleinen USB-Typ-C-Problemen

  10. id Software

    Update für Doom entfernt Denuvo



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

  1. Re: Kein Kopfhöreranschluß? Unglaublich..

    kendon | 12:52

  2. und wenn man ...

    Moe479 | 12:52

  3. Ein paar Fehler im Artikel....

    kvoram | 12:52

  4. Steuern

    Desertdelphin | 12:52

  5. Re: Mittlerweile habe ich fast schon eine...

    ckerazor | 12:51


  1. 12:42

  2. 12:02

  3. 11:48

  4. 11:40

  5. 11:32

  6. 11:24

  7. 11:13

  8. 10:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel