• IT-Karriere:
  • Services:

iOS & MacOS: Apple will Sicherheitslücke erst nach einem Jahr schließen

Eine Lücke im Safari Browser ermöglicht das ungewollte Teilen lokaler Dateien. Apple will die nun veröffentlichte Lücke erst im Frühjahr 2021 schließen.

Artikel veröffentlicht am ,
Ein ungepatchter Apfel
Ein ungepatchter Apfel (Bild: Dainis Graveris/Unsplash)

Mit einem Fehler im Safari Browser können Personen dazu gebracht werden, ungewollt Dateien zu teilen. Der Fehler steckt in Apples Implementierung der Web Share API, die das unwissentliche Versenden von Dateien ermöglicht, sofern der Nutzer die Share API in Apples Browser verwendet. Der Sicherheitsforscher Pawel Wylecial hatte die Sicherheitslücke entdeckt und vor vier Monaten gemeldet. Apple hat nicht nur versäumt, die Lücke zu schließen, sondern auch versucht, die Veröffentlichung bis ins Frühjahr 2021 hinauszuzögern. Der Sicherheitsforscher hat die Sicherheitslücke nun veröffentlicht.

Stellenmarkt
  1. Possling GmbH & Co. KG, Berlin
  2. Robert Koch-Institut, Wildau

Die Lücke selbst steckt in Apples Implementierung der Web Share API, mit der browserübergreifenden API könnten Texte, Links, Dateien oder andere Inhalte geteilt und gemeinsam genutzt werden. Dazu muss nur auf einen Share-Button auf einer Webseite geklickt werden, anschließend öffnet sich eine Liste von Programmen, über welche der Inhalt geteilt werden kann.

Doch statt des Inhalts, der geteilt werden soll, lassen sich - zumindest mit dem Safari Browser unter iOS und MacOS - auch lokale Dateien des Opfers teilen, indem ein Link auf eine lokale Datei gesetzt wird, beispielsweise file:////privat/var/mobile/Library/Safari/History.db.

Den Browserverlauf an die Bekannten schicken

Will eine Person etwa ein Katzenbild von einer präparierten Webseite mit ihren Bekannten teilen, könnte sie so auch unbemerkt die Datenbank mit ihrem Browserverlauf über eine E-Mail teilen. In einem Proof-of-Concept-Video stellt Wylecial genau diesen Fall nach. Allerdings schränkt er selbst ein, dass das Problem "nicht sehr ernst" sei, da das Teilen immer eine Benutzerinteraktion erfordere. Zudem wählt das Opfer selbst die Empfänger der Nachricht aus.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    3./4. Mai 2021, online
  2. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
Weitere IT-Trainings

In Apples Mailprogramm unter iOS und MacOS sowie in der Gmail-App ist es laut Wylecial jedoch trivial, die angehängte Datei zu verstecken. Bei Apples Mailprogramm müsse das Opfer erst sehr weit nach unten scrollen, um den Anhang zu sehen. Bei der Gmail-App kann sogar der Name der Datei verschleiert werden.

Die Sicherheitslücke erinnert an ein kürzlich publik gewordenes Problem mit Mailto-Links. Auch hier konnten den vorausgefüllten E-Mails mittels eines proprietären Features lokale Dateien angehängt werden. Allerdings konnte hier auch der Empfänger festgelegt werden.

Apple patcht nicht

An Apple gemeldet hatte Wylecial die Sicherheitslücke bereits am 17. April. Dort bestätigte man den Eingang und kündigte an, die Sicherheitslücke prüfen zu wollen. Nachdem Wylecial Apple bereits einen Monat mehr Zeit als die in der Sicherheitscommunity üblichen drei Monate zum Beheben des Problems zugestanden hatte, erklärte Apple, es mit einem Sicherheitsupdate im Frühjahr 2021 zu beheben - also ungefähr ein Jahr, nachdem Wylecial die Sicherheitslücke gemeldet hatte.

Apple bat darum, bis dahin keine Details zu der Lücke zu veröffentlichen. Daraufhin veröffentlichte Wylecial die Sicherheitslücke und kritisierte den untragbaren Umgang mit Sicherheitslücken seitens Apple.

In letzter Zeit häufen sich derlei Vorwürfe. So nahmen mehrere Forscher-Teams, darunter Googles Project Zero, nicht an Apples Security-Research-Devices-Programm (SRD) teil, bei dem iPhones mit vollem Systemzugriff verteilt werden. Als Grund geben sie an, dass Apple den Veröffentlichungsprozess der gefundenen Schwachstellen uneingeschränkt selbst kontrollieren wolle.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,50€
  2. 15,99€
  3. 8,29€

Pete Sabacker 26. Aug 2020

Könnte auch daran liegen, dass die noch SVN für WebKit nutzen, lel

tKahner 25. Aug 2020

Und bei so einem zeitlich entfernten Patch-Termin und dem Wunsch, keine Details zu...

HeroFeat 25. Aug 2020

Möglicherweise möchte Apple nur ungern zeitnah ein Update veröffentlichen, da dies von...

PaulaPuffmutter 25. Aug 2020

... wenn man bei der Softwarequalität in jeglicher Hinsicht nachlässt und seine eigene...


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /