iOS: Fehlerhaftes XML trickst Apple-Betriebssystem aus

Ein Bug in iOS erlaubt es Apps, beliebige Berechtigungen zu erhalten.

Artikel veröffentlicht am ,
Sicherheitslücke durch unterschiedliche XML-Parser: Apple schließt einen Bug in iOS, der offenbar manchen schon seit Jahren bekannt war.
Sicherheitslücke durch unterschiedliche XML-Parser: Apple schließt einen Bug in iOS, der offenbar manchen schon seit Jahren bekannt war. (Bild: Drapplesi/Wikimedia Commons/CC-BY-SA 3.0)

In einer Betaversion von Apples mobilem Betriebssystem iOS wurde ein Fehler behoben, mit dem Apps ihre Rechte ausweiten können. Ein Hacker mit dem Pseudonym Siguza kennt den Bug nach eigenen Angaben seit 2017 und beschreibt ihn in einem Blogpost.

Stellenmarkt
  1. Referent*in Informationstechnologie (m/w/d)
    Virtuelles Krankenhaus NRW gGmbH, Hagen
  2. Mitarbeiter Datenschutz / Compliance - Schwerpunkt IT (w/m/d)
    dmTECH GmbH, Karlsruhe
Detailsuche

Der Fehler liegt im Berechtigungsmanagement des iOS-Betriebssystems. Sogenannte Entitlements legen fest, welche Rechte eine App im System hat. Diese Entitlements werden in einer XML-Datei beschrieben.

XML-Parser interpretieren fehlerhafte Kommentare unterschiedlich

Das Problem: Apple verwendet zum Verarbeiten dieser XML-Daten verschiedene Parser, die bei fehlerhaften XML-Daten zu unterschiedlichen Ergebnissen kommen. Durch ungültige Tags, die von manchen Parsern als Kommentartags interpretiert und von anderen Parsern ignoriert werden, kann man eine XML-Datei erzeugen, bei der die unterschiedlichen Parser unterschiedliche Rechte erkennen. Ein einfaches Beispiel dafür hat Siguza auch als Tweet gepostet.

Kernel und Signaturprüfung uneins über Rechte

Somit kann man eine App erzeugen, die beim Prüfen der Codesignatur nur harmlose Rechte bekommt, die jede App haben darf. Prüft der Kernel allerdings die App-Rechte, erhält die App zahlreiche zusätzliche Berechtigungen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Wie riskant der Bug ist, hängt davon ab, welche Apps man nutzt und ob diese versuchen, den Fehler auszunutzen. Da Apple den Bug nun kennt, dürfte es eher unwahrscheinlich sein, dass Apps im offiziellen Appstore landen, die den Bug aktiv ausnutzen. In Enterprise-Umgebungen kann man das sogenannte Sideloading von Apps deaktivieren und damit das Risiko minimieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luftsicherheit
Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
Artikel
  1. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  2. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

  3. Kryptowährung: Paar will Ethereum verklagen, weil es nicht an Coins kommt
    Kryptowährung
    Paar will Ethereum verklagen, weil es nicht an Coins kommt

    3.000 Ether kaufte ein Paar 2014. Doch den Schlüssel zum Wallet will es nie erhalten haben. Jetzt sammeln die beiden Geld, um Ethereum zu verklagen.

Netspy 06. Mai 2020

Bei dem betreffenden Fehler lassen sich 100 % finden.



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /