Abo
  • Services:
Anzeige
Über eine Schwachstelle kann beliebiger Code in die Beleg-E-Mail von Apples App Store eingebettet werden.
Über eine Schwachstelle kann beliebiger Code in die Beleg-E-Mail von Apples App Store eingebettet werden. (Bild: Benjamin Kunz Mejri)

Security: Apples App Store als Einfallstor für Schadcode

Über eine Schwachstelle kann beliebiger Code in die Beleg-E-Mail von Apples App Store eingebettet werden.
Über eine Schwachstelle kann beliebiger Code in die Beleg-E-Mail von Apples App Store eingebettet werden. (Bild: Benjamin Kunz Mejri)

Über eine Schwachstelle in der Verarbeitung von Belegen für Einkäufe in Apples App Store lässt sich Code auf fremden Rechnern einschleusen.

Anzeige

Ein etwas ungewöhnliches Einfallstor: Über den Beleg, den Apple nach einem Einkauf im App Store verschickt, lässt sich beliebiger Code einschleusen. Dazu muss der Code nur in das Namensfeld eingetragen werden. Der Beleg wird nicht nur an die eigene Adresse verschickt, sondern auch an den Verkäufer und durchläuft dabei die Server-Infrastruktur von Apple.

Entdeckt hat die Schwachstelle der IT-Sicherheitsexperte Benjamin Kunz Mejri, der Apple bereits Anfang Juni 2015 davon in Kenntnis gesetzt hat. Apple hat die Schwachstelle zwar bereits bestätigt und ihr eine entsprechende ID zugewiesen, allerdings gab es bis gestern noch keinen Patch, wie uns Mejri bestätigt. Apple müsste dafür eine Verifizierungsmethode einführen.

Schadcode für den App-Verkäufer

Je nachdem mit welcher Applikation und Sicherheitsstufe die Beleg-E-Mail geöffnet wird, kann der eingeschleuste Code automatisch ausgeführt werden. Möglich wäre auch, dass der Schadcode durch den Verkäufer fälschlicherweise an andere Nutzer weitergegeben werden könnte. Aber auch Phishing-Angriffe oder Weiterleitungen auf manipulierte Webseiten sind möglich. Da die Beleg-E-Mail stets den offiziellen Domainnamen @email.apple.com trägt, dürfte sie von den meisten Nutzern als vertrauenswürdig eingestuft werden.

In einem Machbarkeitsnachweis ersetzte Mejri auf einem iPod seinen Namen mit einer Befehlszeile. Das Problem: Dort können auch beliebige Sonderzeichen eingegeben werden. Eine Zeichenbegrenzung gebe es vermutlich, er kenne sie aber nicht genau, sagte Meijri zu Golem.de. Apples Beleg-E-Mails werden im HTML-Format versendet, der Code wird dort in einem Iframe eingebettet. In Kombination mit anderen Exploits könnte diese Lücke für einen App-Verkäufer gefährlich werden. Da der Code auf einfacher Benutzerebene eingegeben und aus der Ferne ausgenutzt werden kann, erhielt die Lücke eine CVSS-Einstufung von 5,8.


eye home zur Startseite

Anzeige

Stellenmarkt
  1. Rohde & Schwarz Cybersecurity GmbH, München, Köln oder Berlin
  2. Bürstner GmbH & Co. KG, Kehl
  3. Wirecard Communication Services GmbH, Leipzig
  4. Odenwald Faserplattenwerk GmbH, Amorbach


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. bei Caseking
  3. 139€

Folgen Sie uns
       

  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Kosten ...

    DAUVersteher | 02:11

  2. Re: 50MBps

    bombinho | 02:01

  3. Re: Lustig. Aber Telefonkabel ist super?

    486dx4-160 | 01:27

  4. Re: Wegfall bedeutet kein Recht auf...

    486dx4-160 | 01:21

  5. Re: Koaxial steht der Glasfaser in kaum etwas nach

    bombinho | 01:02


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel