• IT-Karriere:
  • Services:

iOS & MacOS: Apple will Sicherheitslücke erst nach einem Jahr schließen

Eine Lücke im Safari Browser ermöglicht das ungewollte Teilen lokaler Dateien. Apple will die nun veröffentlichte Lücke erst im Frühjahr 2021 schließen.

Artikel veröffentlicht am ,
Ein ungepatchter Apfel
Ein ungepatchter Apfel (Bild: Dainis Graveris/Unsplash)

Mit einem Fehler im Safari Browser können Personen dazu gebracht werden, ungewollt Dateien zu teilen. Der Fehler steckt in Apples Implementierung der Web Share API, die das unwissentliche Versenden von Dateien ermöglicht, sofern der Nutzer die Share API in Apples Browser verwendet. Der Sicherheitsforscher Pawel Wylecial hatte die Sicherheitslücke entdeckt und vor vier Monaten gemeldet. Apple hat nicht nur versäumt, die Lücke zu schließen, sondern auch versucht, die Veröffentlichung bis ins Frühjahr 2021 hinauszuzögern. Der Sicherheitsforscher hat die Sicherheitslücke nun veröffentlicht.

Stellenmarkt
  1. Drägerwerk AG & Co. KGaA, Lübeck
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Hagen, Düsseldorf, Köln

Die Lücke selbst steckt in Apples Implementierung der Web Share API, mit der browserübergreifenden API könnten Texte, Links, Dateien oder andere Inhalte geteilt und gemeinsam genutzt werden. Dazu muss nur auf einen Share-Button auf einer Webseite geklickt werden, anschließend öffnet sich eine Liste von Programmen, über welche der Inhalt geteilt werden kann.

Doch statt des Inhalts, der geteilt werden soll, lassen sich - zumindest mit dem Safari Browser unter iOS und MacOS - auch lokale Dateien des Opfers teilen, indem ein Link auf eine lokale Datei gesetzt wird, beispielsweise file:////privat/var/mobile/Library/Safari/History.db.

Den Browserverlauf an die Bekannten schicken

Will eine Person etwa ein Katzenbild von einer präparierten Webseite mit ihren Bekannten teilen, könnte sie so auch unbemerkt die Datenbank mit ihrem Browserverlauf über eine E-Mail teilen. In einem Proof-of-Concept-Video stellt Wylecial genau diesen Fall nach. Allerdings schränkt er selbst ein, dass das Problem "nicht sehr ernst" sei, da das Teilen immer eine Benutzerinteraktion erfordere. Zudem wählt das Opfer selbst die Empfänger der Nachricht aus.

In Apples Mailprogramm unter iOS und MacOS sowie in der Gmail-App ist es laut Wylecial jedoch trivial, die angehängte Datei zu verstecken. Bei Apples Mailprogramm müsse das Opfer erst sehr weit nach unten scrollen, um den Anhang zu sehen. Bei der Gmail-App kann sogar der Name der Datei verschleiert werden.

Die Sicherheitslücke erinnert an ein kürzlich publik gewordenes Problem mit Mailto-Links. Auch hier konnten den vorausgefüllten E-Mails mittels eines proprietären Features lokale Dateien angehängt werden. Allerdings konnte hier auch der Empfänger festgelegt werden.

Apple patcht nicht

An Apple gemeldet hatte Wylecial die Sicherheitslücke bereits am 17. April. Dort bestätigte man den Eingang und kündigte an, die Sicherheitslücke prüfen zu wollen. Nachdem Wylecial Apple bereits einen Monat mehr Zeit als die in der Sicherheitscommunity üblichen drei Monate zum Beheben des Problems zugestanden hatte, erklärte Apple, es mit einem Sicherheitsupdate im Frühjahr 2021 zu beheben - also ungefähr ein Jahr, nachdem Wylecial die Sicherheitslücke gemeldet hatte.

Apple bat darum, bis dahin keine Details zu der Lücke zu veröffentlichen. Daraufhin veröffentlichte Wylecial die Sicherheitslücke und kritisierte den untragbaren Umgang mit Sicherheitslücken seitens Apple.

In letzter Zeit häufen sich derlei Vorwürfe. So nahmen mehrere Forscher-Teams, darunter Googles Project Zero, nicht an Apples Security-Research-Devices-Programm (SRD) teil, bei dem iPhones mit vollem Systemzugriff verteilt werden. Als Grund geben sie an, dass Apple den Veröffentlichungsprozess der gefundenen Schwachstellen uneingeschränkt selbst kontrollieren wolle.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Pete Sabacker 26. Aug 2020 / Themenstart

Könnte auch daran liegen, dass die noch SVN für WebKit nutzen, lel

tKahner 25. Aug 2020 / Themenstart

Und bei so einem zeitlich entfernten Patch-Termin und dem Wunsch, keine Details zu...

HeroFeat 25. Aug 2020 / Themenstart

Möglicherweise möchte Apple nur ungern zeitnah ein Update veröffentlichen, da dies von...

PaulaPuffmutter 25. Aug 2020 / Themenstart

... wenn man bei der Softwarequalität in jeglicher Hinsicht nachlässt und seine eigene...

Kommentieren


Folgen Sie uns
       


Probefahrt mit Citroën Ami: Das Palindrom auf vier Rädern
Probefahrt mit Citroën Ami
Das Palindrom auf vier Rädern

Wie fährt sich ein Elektroauto, das von vorne und hinten gleich aussieht und nur 7.000 Euro kostet?
Ein Hands-on von Friedhelm Greis

  1. Elektroautos Förderung privater Ladestellen noch für 2020 geplant
  2. Zulassungsrekord Jeder achte neue Pkw fährt elektrisch
  3. Softwarefehler Andere Marken laden gratis an Teslas Superchargern

Burnout im IT-Job: Mit den Haien schwimmen
Burnout im IT-Job
Mit den Haien schwimmen

Unter Druck bricht ein Webentwickler zusammen - zerrieben von zu eng getakteten Projekten. Obwohl die IT-Branche psychische Belastungen als Problem erkannt hat, lässt sie Beschäftigte oft allein.
Eine Reportage von Miriam Binner


    Freebuds Pro im Test: Huaweis bester ANC-Hörstöpsel schlägt die Airpods Pro nicht
    Freebuds Pro im Test
    Huaweis bester ANC-Hörstöpsel schlägt die Airpods Pro nicht

    Die Freebuds Pro haben viele Besonderheiten der Airpods Pro übernommen und sind teilweise sogar besser. Trotzdem bleiben die Apple-Stöpsel etwas Besonderes.
    Ein Test von Ingo Pakalski

    1. Galaxy Buds Live im Test So hat Samsung gegen Apples Airpods Pro keine Chance
    2. Freebuds Pro Huawei bringt eine Fast-Kopie der Airpods Pro
    3. Airpods Studio Patentanträge bestätigen Apples Arbeit an ANC-Kopfhörer

      •  /