iOS: Fehlerhaftes XML trickst Apple-Betriebssystem aus

Ein Bug in iOS erlaubt es Apps, beliebige Berechtigungen zu erhalten.

Artikel veröffentlicht am ,
Sicherheitslücke durch unterschiedliche XML-Parser: Apple schließt einen Bug in iOS, der offenbar manchen schon seit Jahren bekannt war.
Sicherheitslücke durch unterschiedliche XML-Parser: Apple schließt einen Bug in iOS, der offenbar manchen schon seit Jahren bekannt war. (Bild: Drapplesi/Wikimedia Commons/CC-BY-SA 3.0)

In einer Betaversion von Apples mobilem Betriebssystem iOS wurde ein Fehler behoben, mit dem Apps ihre Rechte ausweiten können. Ein Hacker mit dem Pseudonym Siguza kennt den Bug nach eigenen Angaben seit 2017 und beschreibt ihn in einem Blogpost.

Stellenmarkt
  1. IT Service Portfolio Manager (m/w/d)
    Soluvia IT-Services GmbH, Mannheim, Kiel, Offenbach am Main
  2. Projektmanager - Digitalisierung Produktion (w/m/d)
    Pro Projekte-GmbH & Co. KG, Weißenfels (Raum Halle/Leipzig)
Detailsuche

Der Fehler liegt im Berechtigungsmanagement des iOS-Betriebssystems. Sogenannte Entitlements legen fest, welche Rechte eine App im System hat. Diese Entitlements werden in einer XML-Datei beschrieben.

XML-Parser interpretieren fehlerhafte Kommentare unterschiedlich

Das Problem: Apple verwendet zum Verarbeiten dieser XML-Daten verschiedene Parser, die bei fehlerhaften XML-Daten zu unterschiedlichen Ergebnissen kommen. Durch ungültige Tags, die von manchen Parsern als Kommentartags interpretiert und von anderen Parsern ignoriert werden, kann man eine XML-Datei erzeugen, bei der die unterschiedlichen Parser unterschiedliche Rechte erkennen. Ein einfaches Beispiel dafür hat Siguza auch als Tweet gepostet.

Kernel und Signaturprüfung uneins über Rechte

Somit kann man eine App erzeugen, die beim Prüfen der Codesignatur nur harmlose Rechte bekommt, die jede App haben darf. Prüft der Kernel allerdings die App-Rechte, erhält die App zahlreiche zusätzliche Berechtigungen.

Golem Karrierewelt
  1. Angular für Einsteiger: virtueller Zwei-Tage-Workshop
    26./27.01.2023, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    20.-23.02.2023, Virtuell
Weitere IT-Trainings

Wie riskant der Bug ist, hängt davon ab, welche Apps man nutzt und ob diese versuchen, den Fehler auszunutzen. Da Apple den Bug nun kennt, dürfte es eher unwahrscheinlich sein, dass Apps im offiziellen Appstore landen, die den Bug aktiv ausnutzen. In Enterprise-Umgebungen kann man das sogenannte Sideloading von Apps deaktivieren und damit das Risiko minimieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
El-Ali-Meteorit
Forscher entdecken zwei neue Minerale in einem Meteoriten

In einer Probe aus einem in Somalia niedergegangenen Meteoriten wurden zwei Mineralien entdeckt, die auf der Erde so bisher nicht gefunden wurden.

El-Ali-Meteorit: Forscher entdecken zwei neue Minerale in einem Meteoriten
Artikel
  1. Kraftfahrt-Bundesamt: Elektrischer Corsa sollte zur Abgasuntersuchung
    Kraftfahrt-Bundesamt
    Elektrischer Corsa sollte zur Abgasuntersuchung

    Das Kraftfahrt-Bundesamt ruft den Opel Corsa samt der Elektro-Variante zurück, weil ein Softwarefehler im Auto eine Messung verhindert.

  2. Recruiting: Personalauswahl mit KI kann Unternehmen schaden
    Recruiting
    Personalauswahl mit KI kann Unternehmen schaden

    Software ist objektiv und kennt keine Vorurteile, das macht Künstliche Intelligenz interessant für die Personalauswahl. Ist KI also besser als Personaler? Die Bewerber sind skeptisch und die Wissenschaft liefert keinen Beweis dafür.
    Ein Bericht von Peter Ilg

  3. Gerichtsurteil: MDR darf Facebook-Kommentare ohne Sendungsbezug löschen
    Gerichtsurteil
    MDR darf Facebook-Kommentare ohne Sendungsbezug löschen

    Öffentlich-rechtliche Sender begehen keine Zensur, wenn sie nicht strafbare Kommentare auf Facebook löschen. Manchmal sind sie eher dazu verpflichtet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /