Xara: Kritische Lücke ermöglicht Passwortklau auf iPhones und Macs

18. Juni 2015, 09:50
41 Postings

Angreifer können auch Authentifizierungs-Tokens abgreifen – Apple seit Oktober 2014 informiert

Seit Heartbleed ist es Brauch besonders schweren Sicherheitslücken einen eigenen Namen zu verpassen. Diesen Effekt haben in den letzten Monaten einige Sicherheitsforscher genutzt, um mehr Aufmerksamkeit für ihre Entdeckungen zu kreieren, auch wenn sich diese schlussendlich gar nicht als so schwerwiegend wie befürchtet erwiesen haben. Im folgenden Fall ist dies aber definitiv nicht der Fall: Hinter Xara verbirgt sich eine Sicherheitslücke in iOS und OS X wie sie kaum kritischer sein könnte, noch dazu eine, bei der Apple offenbar Probleme hat sie auszuräumen.

Umfang

Einem Team aus Sicherheitsforschern mehrere Universitäten ist es gelungen, die App-Isolierung und die Keychain-Absicherung bei OS X und iOS praktisch vollständig zu knacken. Dies berichtet The Register. Auf diese Weise können sie auf Passwörter und Authentifizierungs-Tokens aus anderen Programmen zugreifen, um sich etwa zur iCloud, der Mail-App oder auch auf Dritt-Services wie Evernote oder Facebook Zugriff zu verschaffen. Besonders stark sind von dem Problem all jene Programme betroffen, die die Apple Keychain zum Abspeichern von Dritt-Passwörtern nutzen also beispielsweise Googles Browser Chrome.

Belege

Die Forscher betonen dabei, dass weder die Sandbox-Container für OS-X-Apps noch andere Schutzmechanismen der beiden Betriebssysteme Abilfe bieten. Es handle sich um grundlegende Fehler im Inter-App-Kommunikationsmechanismus von Apple. Zum Beleg der eigenen Behauptungen liefern die Forscher zwei Videos, in denen zu sehen ist, wie eine eigene App Bankdaten, iCloud Tokens und andere Passwörter aus Google Chrome auf OS X 10.10.3 ausliest.

Testweise

Zu Testzwecken habe man die eigen, bösartige Anwendung bei Apples App Store eingebracht, wo sie auch ohne Probleme die Vorabchecks des Unternehmens passiert hätten. Insgesamt habe man die Attacke gegen 1.612 OS-X-Programme und 200 iOS-Apps ausprobiert, davon seien 88,6 Prozent anfällig gewesen.

luyi xing

Laut den Forschern wurde Apple bereits im Oktober 2014 über das Problem informiert. Damals hatte man sich sechs Monate zur Behebung des Fehlers ausgebeten, es bisher aber trotzdem nicht geschafft, ein Update zu schnüren. Bei Google hat man hingegen schneller reagiert und mittlerweile die Keychain-Integration aus der OS-X-Version des eigenen Browsers entfernt. Es sei unmöglich das Problem auf Anwendungsebene zu lösen, heißt es von dem Softwarehersteller, also müsse man zu dieser drastischen Maßnahme greifen.

Eine Stellungnahme von Apple gibt es bisher noch nicht. Insofern ist auch unklar, wann es ein Update geben wird. (apo, 18.6.2015)

luyi xing
  • Artikelbild
Share if you care.