Xara: Kritische iOS- und OS-X-Lücken erlauben Passwortdiebstahl

Ein Team aus sechs Forschern kompromittiert Apples Keychain und auch das Prüfverfahren für den App Store. Mithilfe einer manipulierten App erhalten sie Zugriff auf Passwörter und Tokens für iCloud und Facebook. Apple weiß seit Oktober 2014 von den Anfälligkeiten.

Ein Team aus sechs Forschern der Indiana University, Peking University und des Georgia Institute of Technology hat mehrere Zero-Day-Lücken in Mac OS X und Apples Mobilbetriebssystem iOS entdeckt. Die Xara genannten Anfälligkeiten erlauben es nicht nur, Apples Passwort-Manager Keychain zu kompromittieren, sondern auch das bisher als sicher eingestufte Genehmigungsverfahren für Apples App Store zu umgehen.

Security in Firmen (Bild: Shutterstock/Mikko Lemola)Apple wurde bereits im Oktober 2014 über die Sicherheitslücken informiert. Wie The Register berichtet, stimmten die Forscher Apples Bitte zu, Details zu den Anfälligkeiten für sechs Monate geheim zu halten. Seitdem habe sich Apple nicht mehr bei den Forschern gemeldet, weswegen sie sich nun entschieden hätten, die Öffentlichkeit zu informieren.

„Kürzlich haben wir einige überraschende Anfälligkeiten in Apples Mac OS und iOS gefunden, die es gefährlichen Apps erlauben, unautorisiert auf sensible Daten anderer Apps wie Passwörter und Tokens für iCloud, Mail-App und alle in Chrome gespeicherten Passwörter zuzugreifen“, sagte Luyi Xing von der Indiana University im Gespräch mit The Register. „Unsere manipulierten Apps durchliefen erfolgreich Apples Prüfverfahren und wurden im Map App Store und iOS App Store veröffentlicht.“

Eine dieser Apps war in der Lage, vorhandene Einträge in Keychain zu löschen oder neue Einträge im Namen einer legitimen App anzulegen. Der Apple-Schlüsselbund ist den Forschern zufolge nicht in der Lage zu prüfen, ob eine App tatsächlich berechtigt ist, Einträge zu bearbeiten. Anschließend hatte die gefährliche App Zugriff auf alle Einträge der legitimen App.

Google hat laut The Register inzwischen die Keychain-Integration aus Chrome entfernt, mit dem Hinweis, dass Problem sei auf Anwendungsebene wahrscheinlich nicht zu lösen. Auch Jeffrey Goldberg, CEO von Agile Bits und Herausgeber von 1Password, räumte in einem Blogeintrag ein, man habe bisher keine Möglichkeit gefunden, diese Art von Angriff abzuwehren.

Ein weiterer Bug steckt im von iOS verwendeten URL-Schema. Eine der präparierten Apps der Forscher übernahm auf einem iOS-Gerät das für die Facebook-Anmeldung verwendete Schema „fbauth://“. Anschließend konnte sie den Authentifizierungstoken des Facebook-Nutzers abfangen.

Neben Keychain sind den Forschern zufolge zahlreiche andere Apps von den Xara-Schwachstellen betroffen, die einen „unautorisierten, App übergreifenden Zugriff auf Ressourcen“ erlauben. 88,6 Prozent von 1612 OS-X-Anwendungen und 200 iOS-Apps stufen die Forscher als „vollständig angreifbar“ ein.

Themenseiten: Apple, Mac OS X, Secure-IT, Sicherheit, iOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

13 Kommentare zu Xara: Kritische iOS- und OS-X-Lücken erlauben Passwortdiebstahl

Kommentar hinzufügen
  • Am 19. Juni 2015 um 10:48 von C

    Gefühlte Apfel-Sicherheit am Werk.

    Fakt ist, dass kein System sicher ist und man stets auf der Hut sein muss.
    Attribute wie „sicherer“ oder gar @Mac-Harry´s „…das sicherste OS der Welt“ sind Marketing, auf das man Nichts geben sollte.

    Jeder ist für sein System selbst verantwortlich – und kann sich eben nicht auf den Hersteller verlassen. Zudem muss man Hersteller suchen, die schnell & qualitativ patchen. Bei den großen US-Anbietern habe Ich da meine Zweifel…

  • Am 19. Juni 2015 um 2:18 von Judas Ischias

    Als es hier vor einiger Zeit um die Sicherheit von Apple Pay ging und ich einen entsprechenden Kommentar dazu geschrieben habe, wurde auf die Sicherheit der Tokens verwiesen, und dass da kein Mensch Zugriff drauf hat und es deshalb so bombensicher ist.
    Jetzt bin ich aber doch ziemlich verwirrt, denn wer es schafft auf die Tokens zuzugreifen, kann dann auch die Konten plündern.
    So @PeerH, jetzt bin ich aber auf deine Erklärungen gespannt, denn Du hast so getrommelt, weil eben die Kreditkartendaten über die Tokens gesichert werden, man sich keine Sorgen machen muss.

  • Am 18. Juni 2015 um 10:24 von Lustig

    Hier ein Text von PeerH. ich habe mir erlaubt die Firmennamen zu tauschen und die Dauer. Ist diese doch einiges Länger.

    Am 17. Juni 2015 um 13:17 von PeerH

    Das wäre normalerweise kein Problem, wenndas Update die Anwender erreichen würde – nur wird das bei geschätzten 500 Mio der Anwender nicht passieren.

    Und das macht aus diesem Bug einen GAU.

    Dass APPLE das seit OKTOBER weiß, aber in ACHT Monaten keine Update Rollouts der Mobilfunkanbieter bekannt wurden, spricht Bände. Da kommt bestenfalls was für die neuesten „NEIN NIX“ – ALLES lässt man in die Obsoleszenz laufen.

    Tja: it’s APPLE, an iOS seller. ZEHNFACH gekniffen. ;-)

    • Am 18. Juni 2015 um 11:25 von Hi, hi...

      …Dein „lustiger“ Text zeugt von reichlich Unverständnis.
      Apple: Apple-Firmware => bestenfalls einfach gekniffen
      Samsung: Software von Google + Samsung-Crap => zweifach gekniffen.
      Und was in aller Welt haben die Mobilfunkanbieter mit der Systemsoftware von Apple zu tun? Das Umschreiben des Textes funktioniert ausgerechnet HIER nicht!

      Hey, nicht, dass ich solche Lücken gut heiße oder die Dauer, bis zum schließen. Aber bei Dir scheint der Reflex „Oh, Apple baut gerade Sch…! Ganz schnell mal drauf hauen!“ hervorragend zu funktionieren. Von nix Ahnung, aber Haupsache „Hoppla, da bin ich!“

      • Am 18. Juni 2015 um 12:25 von M@tze

        Deine Aussage kann ich aber ohne weitergehende Abänderung 1:1 auf Mac-Harry übernehmen. Zitat: „Aber bei Dir scheint der Reflex “Oh, Samsung/Google/… baut gerade Sch…! Ganz schnell mal drauf hauen!” hervorragend zu funktionieren. Von nix Ahnung, aber Hauptsache “Hoppla, da bin ich!” Der meldet sich auch nur zu Wort, wenn er denkt, die vermeintlich Überlegenheit der Apple Software darstellen zu müssen. Bei denen sitzen auch nur Menschen die Software entwickeln – und die machen nun mal Fehler. Gerade bei Software gibt es keine 100% Sicherheit – nirgendwo. Wer das behauptet, hat keine Ahnung…

        • Am 18. Juni 2015 um 12:40 von Hi, hi...

          …jepp, ich käme nicht auf den Gedanken, dieser Deiner Aussage zu widersprechen!

        • Am 18. Juni 2015 um 13:14 von PeerH

          Eben, das ist richtig. Und genau deswegen spielt es eine große Rolle wie bei dem Betriebssystem die Update Prozesse definiert sind UND umgesetzt werden.

          Und das ist eben der Unterschied zwischen Apple (OS X/iOS) und Google/Samsung (Android) – bei letzteren gibt es (vielleicht) Updates, nur erreichen sie die Geräte nur in seltenen Fällen.

          Leidtragend ist der Anwender/Kunde.

          Und das kann man dann auch sehen: Apple unterstützt noch das bald vier Jahre alte iPhone 4s, während 90% der Androiden nach eineinhalb Jahren ‚out of support‘ sind, und nie wieder Updates, geschweige den Sicherheitsfixes mehr kriegen.

          Die Schadenfreude über das aktuelle Apple iOS / OS X Problem ist daher verfrüht – die werden wahrscheinlich bald bei allen Betroffenen gefixed. Aber was ist mit den 1 Mrd pre 4.4 Androiden und 600 Mio Samsung Geräten, die das Update nie erreichen wird?

          Eben: das scheint mir ein größeres Problem zu sein, weil es eben keine Hilfe gibt.

  • Am 18. Juni 2015 um 9:42 von Lustig

    Seit 8 Monaten sind über 500 Millionen iOS-Nutzer und viele Millionenn OSX-Nutzer absolut ungeschützt. Apple macht wie immer einfach „NICHTS“. Was für ein Dr….laden. Und wieder werden PerrH und seine Gleichgesinnten gebetsartig erklären das dies ja alles nur halb so schlimm ist.

    • Am 18. Juni 2015 um 10:21 von PeerH

      Wie kommst Du darauf? Das ist sogar großer Mist. Und es wird Zeit, dass ein Fix kommt.

      Nur: bei Apple wird es sehr wahrscheinlich ein Fix geben, und das wird die Anwender auch erreichen. Da das eine weit integrierte Komponente ist, ist das schnelle fixen nicht leicht. Sechs Monate sind dennoch zu lang. Die anstehenden Updates sollen erste Änderungen beinhalten.

      Das ist bei einem anderen großen Anbieter kaum der Fall – und da sind dann einige hier sehr ‚verständnisvoll‘. Obwohl da >1 Mrd Androiden dauerhaft schutzlos sind, und Samsung bis zu 600 Mio Geräte ohne Update lässt – nach über sechs Monaten – mit sehr geringen Chancen, dass ein Update, so es mal kommt, die Anwender erreicht.

      Findest Du das auch – ‚lustig‘? ;-)

    • Am 18. Juni 2015 um 12:01 von Mac-Harry

      Naja, wenn man so neben der Spur läuft, physikalischen zugriff auf die Maschine erlaubt, die installation als Admin zustimmt, damit es funktioniert. Naja, wahrscheinlich blicken mal wieder unheimlich viele die Mechanik des Zugriffs.

      Kein Grund zur Aufregung, denn das Ding wird eben NICHT aus der Cloud gestartet ;-)

      • Am 18. Juni 2015 um 12:29 von M@tze

        Ja, wahrscheinlich blicken mal wieder unheimlich viele die Mechanik des Zugriffs. Sicher ist, Du gehörst nicht dazu. Physikalischer Zugriff? Installation als Admin? Cloud? Artikel gelesen? Wovon redest Du eigentlich?

      • Am 20. Juni 2015 um 16:38 von Judas Ischias

        Tja, Mac-Harry,
        es sieht doch sehr danach aus, als würde Siri noch immer nicht richtig funktionieren.;)
        Oder wie erklärt dieser doch recht merkwürdige Kommentar?
        Doch nicht etwa die falschen Pillen eingeworfen?;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *