iOS & MacOS: Apple will Sicherheitslücke erst nach einem Jahr schließen
Mit einem Fehler im Safari Browser können Personen dazu gebracht werden, ungewollt Dateien zu teilen. Der Fehler steckt in Apples Implementierung der Web Share API, die das unwissentliche Versenden von Dateien ermöglicht, sofern der Nutzer die Share API in Apples Browser verwendet. Der Sicherheitsforscher Pawel Wylecial hatte die Sicherheitslücke entdeckt und vor vier Monaten gemeldet. Apple hat nicht nur versäumt, die Lücke zu schließen, sondern auch versucht, die Veröffentlichung bis ins Frühjahr 2021 hinauszuzögern. Der Sicherheitsforscher hat die Sicherheitslücke nun veröffentlicht(öffnet im neuen Fenster) .
Die Lücke selbst steckt in Apples Implementierung der Web Share API, mit der browserübergreifenden API könnten Texte, Links, Dateien oder andere Inhalte geteilt und gemeinsam genutzt werden. Dazu muss nur auf einen Share-Button auf einer Webseite geklickt werden, anschließend öffnet sich eine Liste von Programmen, über welche der Inhalt geteilt werden kann.
Doch statt des Inhalts, der geteilt werden soll, lassen sich – zumindest mit dem Safari Browser unter iOS und MacOS – auch lokale Dateien des Opfers teilen, indem ein Link auf eine lokale Datei gesetzt wird, beispielsweise file:////privat/var/mobile/Library/Safari/History.db .
Den Browserverlauf an die Bekannten schicken
Will eine Person etwa ein Katzenbild von einer präparierten Webseite mit ihren Bekannten teilen, könnte sie so auch unbemerkt die Datenbank mit ihrem Browserverlauf über eine E-Mail teilen. In einem Proof-of-Concept-Video stellt Wylecial genau diesen Fall nach. Allerdings schränkt er selbst ein, dass das Problem "nicht sehr ernst" sei, da das Teilen immer eine Benutzerinteraktion erfordere. Zudem wählt das Opfer selbst die Empfänger der Nachricht aus.
In Apples Mailprogramm unter iOS und MacOS sowie in der Gmail-App ist es laut Wylecial jedoch trivial, die angehängte Datei zu verstecken. Bei Apples Mailprogramm müsse das Opfer erst sehr weit nach unten scrollen, um den Anhang zu sehen. Bei der Gmail-App kann sogar der Name der Datei verschleiert werden.
Die Sicherheitslücke erinnert an ein kürzlich publik gewordenes Problem mit Mailto-Links . Auch hier konnten den vorausgefüllten E-Mails mittels eines proprietären Features lokale Dateien angehängt werden. Allerdings konnte hier auch der Empfänger festgelegt werden.
Apple patcht nicht
An Apple gemeldet hatte Wylecial die Sicherheitslücke bereits am 17. April. Dort bestätigte man den Eingang und kündigte an, die Sicherheitslücke prüfen zu wollen. Nachdem Wylecial Apple bereits einen Monat mehr Zeit als die in der Sicherheitscommunity üblichen drei Monate zum Beheben des Problems zugestanden hatte, erklärte Apple, es mit einem Sicherheitsupdate im Frühjahr 2021 zu beheben – also ungefähr ein Jahr, nachdem Wylecial die Sicherheitslücke gemeldet hatte.
Apple bat darum, bis dahin keine Details zu der Lücke zu veröffentlichen. Daraufhin veröffentlichte Wylecial die Sicherheitslücke und kritisierte den untragbaren Umgang mit Sicherheitslücken seitens Apple.
In letzter Zeit häufen sich derlei Vorwürfe. So nahmen mehrere Forscher-Teams, darunter Googles Project Zero , nicht an Apples Security-Research-Devices-Programm (SRD) teil, bei dem iPhones mit vollem Systemzugriff verteilt werden. Als Grund geben sie an, dass Apple den Veröffentlichungsprozess der gefundenen Schwachstellen uneingeschränkt selbst kontrollieren wolle.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.