iOS & MacOS: Apple will Sicherheitslücke erst nach einem Jahr schließen

Eine Lücke im Safari Browser ermöglicht das ungewollte Teilen lokaler Dateien. Apple will die nun veröffentlichte Lücke erst im Frühjahr 2021 schließen.

Artikel veröffentlicht am ,
Ein ungepatchter Apfel
Ein ungepatchter Apfel (Bild: Dainis Graveris/Unsplash)

Mit einem Fehler im Safari Browser können Personen dazu gebracht werden, ungewollt Dateien zu teilen. Der Fehler steckt in Apples Implementierung der Web Share API, die das unwissentliche Versenden von Dateien ermöglicht, sofern der Nutzer die Share API in Apples Browser verwendet. Der Sicherheitsforscher Pawel Wylecial hatte die Sicherheitslücke entdeckt und vor vier Monaten gemeldet. Apple hat nicht nur versäumt, die Lücke zu schließen, sondern auch versucht, die Veröffentlichung bis ins Frühjahr 2021 hinauszuzögern. Der Sicherheitsforscher hat die Sicherheitslücke nun veröffentlicht.

Stellenmarkt
  1. Product Lead (f/m/d)
    NEXPLORE Technology GmbH, Essen, Darmstadt, München
  2. First und Second Level Support IT - Bereich Service (m/w/d)
    GILDEMEISTER Beteiligungen GmbH, Bielefeld
Detailsuche

Die Lücke selbst steckt in Apples Implementierung der Web Share API, mit der browserübergreifenden API könnten Texte, Links, Dateien oder andere Inhalte geteilt und gemeinsam genutzt werden. Dazu muss nur auf einen Share-Button auf einer Webseite geklickt werden, anschließend öffnet sich eine Liste von Programmen, über welche der Inhalt geteilt werden kann.

Doch statt des Inhalts, der geteilt werden soll, lassen sich - zumindest mit dem Safari Browser unter iOS und MacOS - auch lokale Dateien des Opfers teilen, indem ein Link auf eine lokale Datei gesetzt wird, beispielsweise file:////privat/var/mobile/Library/Safari/History.db.

Den Browserverlauf an die Bekannten schicken

Will eine Person etwa ein Katzenbild von einer präparierten Webseite mit ihren Bekannten teilen, könnte sie so auch unbemerkt die Datenbank mit ihrem Browserverlauf über eine E-Mail teilen. In einem Proof-of-Concept-Video stellt Wylecial genau diesen Fall nach. Allerdings schränkt er selbst ein, dass das Problem "nicht sehr ernst" sei, da das Teilen immer eine Benutzerinteraktion erfordere. Zudem wählt das Opfer selbst die Empfänger der Nachricht aus.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.02.2023, Virtuell
Weitere IT-Trainings

In Apples Mailprogramm unter iOS und MacOS sowie in der Gmail-App ist es laut Wylecial jedoch trivial, die angehängte Datei zu verstecken. Bei Apples Mailprogramm müsse das Opfer erst sehr weit nach unten scrollen, um den Anhang zu sehen. Bei der Gmail-App kann sogar der Name der Datei verschleiert werden.

Die Sicherheitslücke erinnert an ein kürzlich publik gewordenes Problem mit Mailto-Links. Auch hier konnten den vorausgefüllten E-Mails mittels eines proprietären Features lokale Dateien angehängt werden. Allerdings konnte hier auch der Empfänger festgelegt werden.

Apple patcht nicht

An Apple gemeldet hatte Wylecial die Sicherheitslücke bereits am 17. April. Dort bestätigte man den Eingang und kündigte an, die Sicherheitslücke prüfen zu wollen. Nachdem Wylecial Apple bereits einen Monat mehr Zeit als die in der Sicherheitscommunity üblichen drei Monate zum Beheben des Problems zugestanden hatte, erklärte Apple, es mit einem Sicherheitsupdate im Frühjahr 2021 zu beheben - also ungefähr ein Jahr, nachdem Wylecial die Sicherheitslücke gemeldet hatte.

Apple bat darum, bis dahin keine Details zu der Lücke zu veröffentlichen. Daraufhin veröffentlichte Wylecial die Sicherheitslücke und kritisierte den untragbaren Umgang mit Sicherheitslücken seitens Apple.

In letzter Zeit häufen sich derlei Vorwürfe. So nahmen mehrere Forscher-Teams, darunter Googles Project Zero, nicht an Apples Security-Research-Devices-Programm (SRD) teil, bei dem iPhones mit vollem Systemzugriff verteilt werden. Als Grund geben sie an, dass Apple den Veröffentlichungsprozess der gefundenen Schwachstellen uneingeschränkt selbst kontrollieren wolle.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Pete Sabacker 26. Aug 2020

Könnte auch daran liegen, dass die noch SVN für WebKit nutzen, lel

tKahner 25. Aug 2020

Und bei so einem zeitlich entfernten Patch-Termin und dem Wunsch, keine Details zu...

HeroFeat 25. Aug 2020

Möglicherweise möchte Apple nur ungern zeitnah ein Update veröffentlichen, da dies von...

PaulaPuffmutter 25. Aug 2020

... wenn man bei der Softwarequalität in jeglicher Hinsicht nachlässt und seine eigene...



Aktuell auf der Startseite von Golem.de
Oliver Blume
VW verwirft Trinity-Modell und plant nochmal neu

VWs Ingenieure müssen den Trinity neu planen, weil das Design bei der Konzernspitze durchgefallen ist. Zudem gibt es eine neue Softwarestrategie.

Oliver Blume: VW verwirft Trinity-Modell und plant nochmal neu
Artikel
  1. Bedenken zu Microsoft 365: Datenschützer will mit Wirtschaft über Office-Software reden
    Bedenken zu Microsoft 365
    Datenschützer will mit Wirtschaft über Office-Software reden

    Bei den Gesprächen könnte herauskommen, dass Microsoft 365 nicht mehr verwendet werden darf.

  2. Smart-TV: Google veröffentlicht Android TV 13
    Smart-TV
    Google veröffentlicht Android TV 13

    Bisher haben die meisten Smart-TVs und Streaminggeräte mit Googles TV-Betriebssystem noch nicht einmal ein Update auf Android TV 12 erhalten.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /