iOS & MacOS: Apple will Sicherheitslücke erst nach einem Jahr schließen

Eine Lücke im Safari Browser ermöglicht das ungewollte Teilen lokaler Dateien. Apple will die nun veröffentlichte Lücke erst im Frühjahr 2021 schließen.

Artikel veröffentlicht am ,
Ein ungepatchter Apfel
Ein ungepatchter Apfel (Bild: Dainis Graveris/Unsplash)

Mit einem Fehler im Safari Browser können Personen dazu gebracht werden, ungewollt Dateien zu teilen. Der Fehler steckt in Apples Implementierung der Web Share API, die das unwissentliche Versenden von Dateien ermöglicht, sofern der Nutzer die Share API in Apples Browser verwendet. Der Sicherheitsforscher Pawel Wylecial hatte die Sicherheitslücke entdeckt und vor vier Monaten gemeldet. Apple hat nicht nur versäumt, die Lücke zu schließen, sondern auch versucht, die Veröffentlichung bis ins Frühjahr 2021 hinauszuzögern. Der Sicherheitsforscher hat die Sicherheitslücke nun veröffentlicht.

Stellenmarkt
  1. Softwareentwickler (m/w/d) Java Full Stack & Cloud
    TraceTronic GmbH, Dresden
  2. Senior Solution Architect (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main
Detailsuche

Die Lücke selbst steckt in Apples Implementierung der Web Share API, mit der browserübergreifenden API könnten Texte, Links, Dateien oder andere Inhalte geteilt und gemeinsam genutzt werden. Dazu muss nur auf einen Share-Button auf einer Webseite geklickt werden, anschließend öffnet sich eine Liste von Programmen, über welche der Inhalt geteilt werden kann.

Doch statt des Inhalts, der geteilt werden soll, lassen sich - zumindest mit dem Safari Browser unter iOS und MacOS - auch lokale Dateien des Opfers teilen, indem ein Link auf eine lokale Datei gesetzt wird, beispielsweise file:////privat/var/mobile/Library/Safari/History.db.

Den Browserverlauf an die Bekannten schicken

Will eine Person etwa ein Katzenbild von einer präparierten Webseite mit ihren Bekannten teilen, könnte sie so auch unbemerkt die Datenbank mit ihrem Browserverlauf über eine E-Mail teilen. In einem Proof-of-Concept-Video stellt Wylecial genau diesen Fall nach. Allerdings schränkt er selbst ein, dass das Problem "nicht sehr ernst" sei, da das Teilen immer eine Benutzerinteraktion erfordere. Zudem wählt das Opfer selbst die Empfänger der Nachricht aus.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

In Apples Mailprogramm unter iOS und MacOS sowie in der Gmail-App ist es laut Wylecial jedoch trivial, die angehängte Datei zu verstecken. Bei Apples Mailprogramm müsse das Opfer erst sehr weit nach unten scrollen, um den Anhang zu sehen. Bei der Gmail-App kann sogar der Name der Datei verschleiert werden.

Die Sicherheitslücke erinnert an ein kürzlich publik gewordenes Problem mit Mailto-Links. Auch hier konnten den vorausgefüllten E-Mails mittels eines proprietären Features lokale Dateien angehängt werden. Allerdings konnte hier auch der Empfänger festgelegt werden.

Apple patcht nicht

An Apple gemeldet hatte Wylecial die Sicherheitslücke bereits am 17. April. Dort bestätigte man den Eingang und kündigte an, die Sicherheitslücke prüfen zu wollen. Nachdem Wylecial Apple bereits einen Monat mehr Zeit als die in der Sicherheitscommunity üblichen drei Monate zum Beheben des Problems zugestanden hatte, erklärte Apple, es mit einem Sicherheitsupdate im Frühjahr 2021 zu beheben - also ungefähr ein Jahr, nachdem Wylecial die Sicherheitslücke gemeldet hatte.

Apple bat darum, bis dahin keine Details zu der Lücke zu veröffentlichen. Daraufhin veröffentlichte Wylecial die Sicherheitslücke und kritisierte den untragbaren Umgang mit Sicherheitslücken seitens Apple.

In letzter Zeit häufen sich derlei Vorwürfe. So nahmen mehrere Forscher-Teams, darunter Googles Project Zero, nicht an Apples Security-Research-Devices-Programm (SRD) teil, bei dem iPhones mit vollem Systemzugriff verteilt werden. Als Grund geben sie an, dass Apple den Veröffentlichungsprozess der gefundenen Schwachstellen uneingeschränkt selbst kontrollieren wolle.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Pete Sabacker 26. Aug 2020

Könnte auch daran liegen, dass die noch SVN für WebKit nutzen, lel

tKahner 25. Aug 2020

Und bei so einem zeitlich entfernten Patch-Termin und dem Wunsch, keine Details zu...

HeroFeat 25. Aug 2020

Möglicherweise möchte Apple nur ungern zeitnah ein Update veröffentlichen, da dies von...

PaulaPuffmutter 25. Aug 2020

... wenn man bei der Softwarequalität in jeglicher Hinsicht nachlässt und seine eigene...



Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Fusionsgespräche: Orange und Vodafone wollten zusammengehen
    Fusionsgespräche
    Orange und Vodafone wollten zusammengehen

    Die führenden Netzbetreiber in Europa wollen immer wieder eine Fusion. Auch aus den letzten Verhandlungen wurde jedoch bisher nichts.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /