• IT-Karriere:
  • Services:

Security: Apples App Store als Einfallstor für Schadcode

Über eine Schwachstelle in der Verarbeitung von Belegen für Einkäufe in Apples App Store lässt sich Code auf fremden Rechnern einschleusen.

Artikel veröffentlicht am ,
Über eine Schwachstelle kann beliebiger Code in die Beleg-E-Mail von Apples App Store eingebettet werden.
Über eine Schwachstelle kann beliebiger Code in die Beleg-E-Mail von Apples App Store eingebettet werden. (Bild: Benjamin Kunz Mejri)

Ein etwas ungewöhnliches Einfallstor: Über den Beleg, den Apple nach einem Einkauf im App Store verschickt, lässt sich beliebiger Code einschleusen. Dazu muss der Code nur in das Namensfeld eingetragen werden. Der Beleg wird nicht nur an die eigene Adresse verschickt, sondern auch an den Verkäufer und durchläuft dabei die Server-Infrastruktur von Apple.

Stellenmarkt
  1. Universitätsklinikum Frankfurt, Frankfurt am Main
  2. ITSCare ? IT-Services für den Gesundheitsmarkt GbR, Frankfurt am Main

Entdeckt hat die Schwachstelle der IT-Sicherheitsexperte Benjamin Kunz Mejri, der Apple bereits Anfang Juni 2015 davon in Kenntnis gesetzt hat. Apple hat die Schwachstelle zwar bereits bestätigt und ihr eine entsprechende ID zugewiesen, allerdings gab es bis gestern noch keinen Patch, wie uns Mejri bestätigt. Apple müsste dafür eine Verifizierungsmethode einführen.

Schadcode für den App-Verkäufer

Je nachdem mit welcher Applikation und Sicherheitsstufe die Beleg-E-Mail geöffnet wird, kann der eingeschleuste Code automatisch ausgeführt werden. Möglich wäre auch, dass der Schadcode durch den Verkäufer fälschlicherweise an andere Nutzer weitergegeben werden könnte. Aber auch Phishing-Angriffe oder Weiterleitungen auf manipulierte Webseiten sind möglich. Da die Beleg-E-Mail stets den offiziellen Domainnamen @email.apple.com trägt, dürfte sie von den meisten Nutzern als vertrauenswürdig eingestuft werden.

In einem Machbarkeitsnachweis ersetzte Mejri auf einem iPod seinen Namen mit einer Befehlszeile. Das Problem: Dort können auch beliebige Sonderzeichen eingegeben werden. Eine Zeichenbegrenzung gebe es vermutlich, er kenne sie aber nicht genau, sagte Meijri zu Golem.de. Apples Beleg-E-Mails werden im HTML-Format versendet, der Code wird dort in einem Iframe eingebettet. In Kombination mit anderen Exploits könnte diese Lücke für einen App-Verkäufer gefährlich werden. Da der Code auf einfacher Benutzerebene eingegeben und aus der Ferne ausgenutzt werden kann, erhielt die Lücke eine CVSS-Einstufung von 5,8.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 6,99€
  2. (u. a. Overcooked! 2 für 11,50€, The Survivalists für 18,74€, Worms Armageddon für 7,50€)
  3. (bis 21. Januar)

Folgen Sie uns
       


Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
Moodle: Was den Lernraum Berlin in die Knie zwang
Moodle
Was den Lernraum Berlin in die Knie zwang

Eine übermäßig große Datenbank und schlecht optimierte Abfragen in Moodle führten zu Ausfällen in der Online-Lernsoftware.
Eine Recherche von Hanno Böck


    Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
    Star Wars und Star Trek
    Was The Mandalorian besser macht als Discovery

    Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
    Ein IMHO von Tobias Költzsch

    1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
    2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
    3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne

    Quereinsteiger: Mit dem Master in die IT
    Quereinsteiger
    Mit dem Master in die IT

    Bachelorabsolventen von Fachhochschulen gehen überwiegend sofort in den Job. Einen Master machen sie später und dann gerne in IT. Studienangebote für Quereinsteiger gibt es immer mehr.
    Ein Bericht von Peter Ilg

    1. IT-Arbeit Es geht auch ohne Chefs
    2. 42 Wolfsburg Programmieren lernen ohne Abi, Lehrer und Gebühren
    3. Betriebsräte in der Tech-Branche Freunde sein reicht manchmal nicht

      •  /