Abo
  • IT-Karriere:

Security: Apples App Store als Einfallstor für Schadcode

Über eine Schwachstelle in der Verarbeitung von Belegen für Einkäufe in Apples App Store lässt sich Code auf fremden Rechnern einschleusen.

Artikel veröffentlicht am ,
Über eine Schwachstelle kann beliebiger Code in die Beleg-E-Mail von Apples App Store eingebettet werden.
Über eine Schwachstelle kann beliebiger Code in die Beleg-E-Mail von Apples App Store eingebettet werden. (Bild: Benjamin Kunz Mejri)

Ein etwas ungewöhnliches Einfallstor: Über den Beleg, den Apple nach einem Einkauf im App Store verschickt, lässt sich beliebiger Code einschleusen. Dazu muss der Code nur in das Namensfeld eingetragen werden. Der Beleg wird nicht nur an die eigene Adresse verschickt, sondern auch an den Verkäufer und durchläuft dabei die Server-Infrastruktur von Apple.

Stellenmarkt
  1. Wacker Chemie AG, München
  2. LDB Gruppe, Berlin

Entdeckt hat die Schwachstelle der IT-Sicherheitsexperte Benjamin Kunz Mejri, der Apple bereits Anfang Juni 2015 davon in Kenntnis gesetzt hat. Apple hat die Schwachstelle zwar bereits bestätigt und ihr eine entsprechende ID zugewiesen, allerdings gab es bis gestern noch keinen Patch, wie uns Mejri bestätigt. Apple müsste dafür eine Verifizierungsmethode einführen.

Schadcode für den App-Verkäufer

Je nachdem mit welcher Applikation und Sicherheitsstufe die Beleg-E-Mail geöffnet wird, kann der eingeschleuste Code automatisch ausgeführt werden. Möglich wäre auch, dass der Schadcode durch den Verkäufer fälschlicherweise an andere Nutzer weitergegeben werden könnte. Aber auch Phishing-Angriffe oder Weiterleitungen auf manipulierte Webseiten sind möglich. Da die Beleg-E-Mail stets den offiziellen Domainnamen @email.apple.com trägt, dürfte sie von den meisten Nutzern als vertrauenswürdig eingestuft werden.

In einem Machbarkeitsnachweis ersetzte Mejri auf einem iPod seinen Namen mit einer Befehlszeile. Das Problem: Dort können auch beliebige Sonderzeichen eingegeben werden. Eine Zeichenbegrenzung gebe es vermutlich, er kenne sie aber nicht genau, sagte Meijri zu Golem.de. Apples Beleg-E-Mails werden im HTML-Format versendet, der Code wird dort in einem Iframe eingebettet. In Kombination mit anderen Exploits könnte diese Lücke für einen App-Verkäufer gefährlich werden. Da der Code auf einfacher Benutzerebene eingegeben und aus der Ferne ausgenutzt werden kann, erhielt die Lücke eine CVSS-Einstufung von 5,8.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)
  3. 334,00€

Folgen Sie uns
       


Tiemo Wölken (SPD) zu Artikel 13

Der SPD-Europaabgeordnete Tiemo Wölken hofft darauf, dass das Europaparlament am 26. März 2019 den umstrittenen Artikel 13 noch ablehnt.

Tiemo Wölken (SPD) zu Artikel 13 Video aufrufen
Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

    •  /