Abo
  • Services:
Anzeige
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt.
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt. (Bild: Luyi Xing)

Security: Zero-Days in Mac OS X und iOS veröffentlicht

Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt.
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt. (Bild: Luyi Xing)

Mangelnde Sicherheitsüberprüfungen in Mac OS X und iOS machen es Malware einfach, Passwörter oder andere kritischen Daten auszulesen. IT-Sicherheitsforschern ist es sogar gelungen, Schadsoftware in Apples App Store zu platzieren.

Anzeige

Selbst aus einer abgeschotteten Umgebung ist es IT-Sicherheitsforschern gelungen, mit eigens erstellten Apps Passwörter auszulesen oder sich die Zugangsdaten zur iCloud zu verschaffen. Grund dafür sollen unzureichende Sicherheitsüberprüfungen in der Kommunikation von Apps mit dem Betriebssystem und untereinander sein. Die sechs Forscher von den Universitäten Indiana, Georgia und Peking bezeichnen ihre Befunde als "gravierend".

Bereits vor sechs Monaten sei Apple informiert worden. Dort seien die Schwachstellen zwar bestätigt, die Lücken jedoch nur unzureichend oder gar nicht geschlossen worden. Aber auch App-Entwickler hätten Fehler gemacht, sagten die Forscher. Grund dafür sei eine unzureichende Informationspolitik von Seiten Apples, das über bestehende Sicherheitsfunktionen nicht informiere und offenbar Apps auch nicht daraufhin überprüfe. Selbst die Prüfmechanismen für die Zulassung zum Apple Store hätten versagt, denn den Forschern sei es gelungen, ihre präparierten Apps ohne Weiteres dort einzuschleusen.

Unter dem Namen Cross-App Resource Access oder kurz Xara haben die Forscher gleich mehrere Schwachstellen in Mac OS X und iOS beschrieben. Im Detail geht es darum, wie Apps trotz Abschottung in einer Sandbox unbefugt auf die Daten anderer Apps zugreifen können.

So sei es den Forschern gelungen, von ihrer App aus über Manipulationen am Dienst Schlüsselbund, der Passwortverwaltung unter Mac OS X, Zugangsdaten auszulesen, die von der Systemeinstellung Internetaccounts verwaltet werden. Dazu gehörten sowohl iCloud-Tokens als auch Zugangsdaten zu sozialen Netzwerken oder E-Mail-Konten. Allerdings muss die Malware zunächst selbst die Apple-ID, also die E-Mail-Adresse eines Benutzers, kennen und anschließend ein Password-Item erstellen, bevor ein anderer Dienst auf das iCloud-Konto zugreifen will. Gelingt das, legt das Betriebssystem das iCloud-Token in dem von der Malware erstellen Passwort-Item ab.

Apple habe zwar in Mac OS X 10.10.3 und der Beta von 10.10.4 die Richtlinien für den Zugang zum iCloud-Konto geändert. Statt der Apple-ID wird jetzt eine zufällige neunstellige Ziffer verwendet. Allerdings verwenden andere Dienste wie Gmail weiterhin die E-Mail zur Identifizierung. Außerdem entdeckten die Forscher danach eine neue Schwachstelle, mit der sie sich weiterhin Zugang zum iCloud-Konto verschaffen können. Sie arbeiten gegenwärtig mit Apple zusammen, um auch diese Schwachstelle zu beseitigen.

Jede App bekommt eine eindeutige BundleID zugewiesen. Anhand dieser wird auch der Container der App eingerichtet, wenn sie installiert wird. Die Forscher entdeckten jedoch, dass die BIDs der in der App integrierten Subprogramme nicht überprüft werden. So konnten sie dem Unterprogramm für den Zugriff auf Dienst für die Interprozesskommunikation XPC eine BID eines anderen Programms zuweisen. Darüber verschafften sich die Experten beispielsweise Zugriff auf den Container der App Evernote und konnten dort sämtlicher Notizen und Kontakte habhaft werden.

Auch andere Kommunikationsdienste seien unsicher, sagten die Forscher, etwa NSConnection oder Websocket. Beide böten keine Möglichkeit der Authentifizierung. Daher sei es einfach, eine gefälschte NSConnection-Verbindung zu einer anderen App aufzubauen. Außerdem gelang es den Forschern, einen Websocket-Server mit dem Port aufzubauen, über den normalerweise die Passwortverwaltung 1Password kommuniziert. So konnten sie jedes Passwort abgreifen, das gerade eingegeben wurde, egal ob das im Browser Chrome, Firefox oder Safari geschah. Auch die dafür von den Forschern entwickelte App bestand die Prüfung für die Zulassung zum Apple Store anstandslos.

Die bisher beschriebenen Angriffe funktionieren indes nur unter Mac OS X. Unter iOS fanden die Forscher jedoch ebenfalls eine Schwachstelle in Form eines Angriffs über URL-Schemata, die auch unter Mac OS X funktioniert. Ihre Malware beanspruchte beispielsweise das Schemata für die Facebook-Anmeldung für sich. Danach starteten sie Pinterest. Die App authentifizierte sich über Facebook, welches das Token aber zunächst an die Malware weiterleitete. Die wiederum leitete das Token an Pinterest weiter und blieb so unentdeckt. Hier helfe der bereits verfügbarer API-Aufruf openURL:sourceApplication in der Pinterest-App, den es allerdings nur für iOS gebe. Außerdem weise Apple Entwickler nirgends darauf hin, dass sie sich so schützen könnten.

Die Forscher haben über 1.600 Mac- und iOS-Apps untersucht und festgestellt, das mehr als 88 Prozent mindestens für eine der entdeckten Schwachstellen anfällig sind. Sie schlagen die Entwicklung eines Scanners vor, der zweifelhafte Verbindungen meldet.


eye home zur Startseite
humpfor 18. Jun 2015

Das hast du bei JEDER Cloud..

Phreeze 18. Jun 2015

bevor du ne wall of text schreibst: ERKENNE DIE IRONIE

AllAgainstAds 18. Jun 2015

Sehe ich genau so und Danke für den Hinweiß auf die Heuristik, das war mir doch...

AllAgainstAds 18. Jun 2015

das die Zwangslage erkennt und zumindest erst einmal ein Statement...

Cassiel 18. Jun 2015

Und zwar aus dem folgenden Grund: Keychain arbeitet grob gesagt nach dem folgenden...



Anzeige

Stellenmarkt
  1. greybee GmbH, Frankfurt am Main
  2. MediaMarktSaturn Retail Concepts, Ingolstadt
  3. Robert Bosch GmbH, Böblingen
  4. BAUSCH+STRÖBEL Maschinenfabrik Ilshofen GmbH+Co. KG, Ilshofen


Anzeige
Blu-ray-Angebote
  1. 12,85€ + 5€ FSK18-Versand
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Twitter

    Aggressive Trump-Tweets wegen Nachrichtenwert nicht gelöscht

  2. Mototok

    Elektroschlepper rangieren BA-Flugzeuge

  3. MacOS High Sierra

    MacOS-Keychain kann per App ausgelesen werden

  4. Sendersuchlauf

    Unitymedia erstattet Kunden die Kosten für Fernsehtechniker

  5. Spielebranche

    US-Synchronsprecher bekommen mehr Geld und Transparenz

  6. Ignite 2017

    Microsoft 365 kommt auch für Schüler und Fabrikarbeiter

  7. Lego Boost im Test

    Jede Menge Bastelspaß für eine kleine Zielgruppe

  8. Platooning

    Daimler fährt in den USA mit Lkw im autonomen Konvoi

  9. Suchmaschine

    Apple stellt Siri auf Google um

  10. Gruppenchat

    Skype for Business wird durch Microsoft Teams ersetzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Bundestagswahl 2017 IT-Probleme verzögerten Stimmübermittlung
  2. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  3. Zitis Wer Sicherheitslücken findet, darf sie behalten

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. iZugar 220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt
  2. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  3. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

  1. Re: Blödes Topic von Golem

    Jürgen Troll | 11:33

  2. Re: Tja, so ist es

    muhviehstarrr | 11:32

  3. Re: Und plötzlich tut sich was

    ArcherV | 11:31

  4. Re: Das sind mal Stundensätze

    Jürgen Troll | 11:31

  5. Re: 67W im Idle - Aua

    ArcherV | 11:29


  1. 11:43

  2. 11:28

  3. 11:00

  4. 10:45

  5. 10:39

  6. 10:30

  7. 09:44

  8. 09:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel