• IT-Karriere:
  • Services:

Sandscout: Angriff auf Apples Sandkasten

Im Sicherheitsvergleich mit Android schneidet iOS meist besser ab. In einem aktuellen Versuch gelang es Forschern aber, einen erfolgreichen Angriff auf die Sandboxing-Funktion von iOS-Apps durchzuführen.

Artikel veröffentlicht am ,
In diesem Sandkasten ist die Welt noch in Ordnung.
In diesem Sandkasten ist die Welt noch in Ordnung. (Bild: Anatolii Stepanov/AFP/Getty Images)

Ein internationales Forscherteam hat unter Beteiligung von Forschern der TU Darmstadt nach eigenen Angaben einen erfolgreichen Angriff auf den Sandbox-Sicherheitsmechanismus von Apples mobilem Betriebssystem iOS durchgeführt. Mit dem Sandboxing soll etwa verhindert werden, das Apps ohne Berechtigung auf die Datenspeicher anderer Apps zugreifen können. Apple will die Lücken in der kommenden Version von iOS schließen.

Stellenmarkt
  1. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  2. Dynamit Nobel Defence GmbH, Berlin

Die Forscher wollten ein System entwickeln, das iOS automatisch auf mögliche Sicherheitsprobleme abcheckt. Dazu extrahierten sie zunächst die binär kodierten Sandbox-Profile der einzelnen Apps aus dem Betriebssystem. Diese würden dann in eine "für Menschen lesbare Form" umgewandelt. Damit sei dann ein Modell für jedes vorliegende Profil erstellt worden, dass dann mit automatischen Tests auf Sicherheitslücken hin überprüft worden sei.

Details zu den Angriffen sind bislang nicht bekannt

Wie genau diese Tests abgelaufen sind ist bislang unklar. Die Forscher schreiben jedoch, dass sie mehrere Angriffspunkte gefunden hätten. So sei es ihnen gelungen, die iOS-Datenschutzeinstellungen für Kontakte zu umgehen, Zugriff auf Nutzernamen und die Medienbibliothek zu erlangen oder einzelne Systemressourcen generell für den Zugriff zu sperren. Außerdem könnten die Berechtigungen von Apps ausgedehnt werden und vertrauliche Informationen von Apps, wie zum Beispiel Metadaten, ausgelesen werden. Um die Angriffe zu ermöglichen ist offenbar die Installation einer "bösartigen Drittanwender-App" erforderlich. Genauere Erkenntnisse sollen Ende Oktober auf der ACM Conference on Computer and Communications Security (CCS) in Wien präsentiert werden.

Die Forscher betonen, dass Apple schnell auf die Mitteilung der Erkenntnisse reagiert habe und plane, die gefundenen Lücken in der kommenden iOS-Version zu schließen. Trotzdem sind Sie der Meinung, "dass Apple sich von der Zusammenarbeit mit der akademischen Forschung zu sehr abschottet und keine Kooperationen anstrebt." Apple hatte auf der Blackhat erstmals ein Bugbounty-Programm vorgestellt, das jedoch zahlreichen Beschränkungen unterliegt. Auf seiner Webseite hat das Unternehmen bislang noch keine Details veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (1TB für 41,65€, 5TB für 92,65€)
  2. (u. a. Hitman 3 - Epic Games Store Key für 34,49€, Medieval Dynasty für 8,99€)
  3. 2.449,00€
  4. gratis (bis 22.04.)

Niaxa 25. Aug 2016

Ich nutze eher mein S7 Edge und auch da sind mir Hiobsbotschaften egal, solange an...

nr69 23. Aug 2016

...die jetzt die ausgelobte Kohle gewonnen?


Folgen Sie uns
       


Geforce RTX 3060 - Test

Schneller als eine Geforce RTX 2070, so günstig wie die Geforce GTX 1060 (theoretisch).

Geforce RTX 3060 - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /