Security: Zero-Days in Mac OS X und iOS veröffentlicht

Mangelnde Sicherheitsüberprüfungen in Mac OS X und iOS machen es Malware einfach, Passwörter oder andere kritischen Daten auszulesen. IT-Sicherheitsforschern ist es sogar gelungen, Schadsoftware in Apples App Store zu platzieren.

Artikel veröffentlicht am ,
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt.
Forscher haben mehrere Schwachstellen in Mac OS X und iOS entdeckt. (Bild: Luyi Xing)

Selbst aus einer abgeschotteten Umgebung ist es IT-Sicherheitsforschern gelungen, mit eigens erstellten Apps Passwörter auszulesen oder sich die Zugangsdaten zur iCloud zu verschaffen. Grund dafür sollen unzureichende Sicherheitsüberprüfungen in der Kommunikation von Apps mit dem Betriebssystem und untereinander sein. Die sechs Forscher von den Universitäten Indiana, Georgia und Peking bezeichnen ihre Befunde als "gravierend".

Bereits vor sechs Monaten sei Apple informiert worden. Dort seien die Schwachstellen zwar bestätigt, die Lücken jedoch nur unzureichend oder gar nicht geschlossen worden. Aber auch App-Entwickler hätten Fehler gemacht, sagten die Forscher. Grund dafür sei eine unzureichende Informationspolitik von Seiten Apples, das über bestehende Sicherheitsfunktionen nicht informiere und offenbar Apps auch nicht daraufhin überprüfe. Selbst die Prüfmechanismen für die Zulassung zum Apple Store hätten versagt, denn den Forschern sei es gelungen, ihre präparierten Apps ohne Weiteres dort einzuschleusen.

Unter dem Namen Cross-App Resource Access oder kurz Xara haben die Forscher gleich mehrere Schwachstellen in Mac OS X und iOS beschrieben. Im Detail geht es darum, wie Apps trotz Abschottung in einer Sandbox unbefugt auf die Daten anderer Apps zugreifen können.

So sei es den Forschern gelungen, von ihrer App aus über Manipulationen am Dienst Schlüsselbund, der Passwortverwaltung unter Mac OS X, Zugangsdaten auszulesen, die von der Systemeinstellung Internetaccounts verwaltet werden. Dazu gehörten sowohl iCloud-Tokens als auch Zugangsdaten zu sozialen Netzwerken oder E-Mail-Konten. Allerdings muss die Malware zunächst selbst die Apple-ID, also die E-Mail-Adresse eines Benutzers, kennen und anschließend ein Password-Item erstellen, bevor ein anderer Dienst auf das iCloud-Konto zugreifen will. Gelingt das, legt das Betriebssystem das iCloud-Token in dem von der Malware erstellen Passwort-Item ab.

Apple habe zwar in Mac OS X 10.10.3 und der Beta von 10.10.4 die Richtlinien für den Zugang zum iCloud-Konto geändert. Statt der Apple-ID wird jetzt eine zufällige neunstellige Ziffer verwendet. Allerdings verwenden andere Dienste wie Gmail weiterhin die E-Mail zur Identifizierung. Außerdem entdeckten die Forscher danach eine neue Schwachstelle, mit der sie sich weiterhin Zugang zum iCloud-Konto verschaffen können. Sie arbeiten gegenwärtig mit Apple zusammen, um auch diese Schwachstelle zu beseitigen.

Jede App bekommt eine eindeutige BundleID zugewiesen. Anhand dieser wird auch der Container der App eingerichtet, wenn sie installiert wird. Die Forscher entdeckten jedoch, dass die BIDs der in der App integrierten Subprogramme nicht überprüft werden. So konnten sie dem Unterprogramm für den Zugriff auf Dienst für die Interprozesskommunikation XPC eine BID eines anderen Programms zuweisen. Darüber verschafften sich die Experten beispielsweise Zugriff auf den Container der App Evernote und konnten dort sämtlicher Notizen und Kontakte habhaft werden.

Auch andere Kommunikationsdienste seien unsicher, sagten die Forscher, etwa NSConnection oder Websocket. Beide böten keine Möglichkeit der Authentifizierung. Daher sei es einfach, eine gefälschte NSConnection-Verbindung zu einer anderen App aufzubauen. Außerdem gelang es den Forschern, einen Websocket-Server mit dem Port aufzubauen, über den normalerweise die Passwortverwaltung 1Password kommuniziert. So konnten sie jedes Passwort abgreifen, das gerade eingegeben wurde, egal ob das im Browser Chrome, Firefox oder Safari geschah. Auch die dafür von den Forschern entwickelte App bestand die Prüfung für die Zulassung zum Apple Store anstandslos.

Die bisher beschriebenen Angriffe funktionieren indes nur unter Mac OS X. Unter iOS fanden die Forscher jedoch ebenfalls eine Schwachstelle in Form eines Angriffs über URL-Schemata, die auch unter Mac OS X funktioniert. Ihre Malware beanspruchte beispielsweise das Schemata für die Facebook-Anmeldung für sich. Danach starteten sie Pinterest. Die App authentifizierte sich über Facebook, welches das Token aber zunächst an die Malware weiterleitete. Die wiederum leitete das Token an Pinterest weiter und blieb so unentdeckt. Hier helfe der bereits verfügbarer API-Aufruf openURL:sourceApplication in der Pinterest-App, den es allerdings nur für iOS gebe. Außerdem weise Apple Entwickler nirgends darauf hin, dass sie sich so schützen könnten.

Die Forscher haben über 1.600 Mac- und iOS-Apps untersucht und festgestellt, das mehr als 88 Prozent mindestens für eine der entdeckten Schwachstellen anfällig sind. Sie schlagen die Entwicklung eines Scanners vor, der zweifelhafte Verbindungen meldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


humpfor 18. Jun 2015

Das hast du bei JEDER Cloud..

Phreeze 18. Jun 2015

bevor du ne wall of text schreibst: ERKENNE DIE IRONIE

AllAgainstAds 18. Jun 2015

Sehe ich genau so und Danke für den Hinweiß auf die Heuristik, das war mir doch...

AllAgainstAds 18. Jun 2015

das die Zwangslage erkennt und zumindest erst einmal ein Statement...



Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /