Über unsMediaKontaktImpressum
23. Juni 2015

iOS und OSX: Neue Sicherheitslücke

Schwachstellen in iOS und OSX erlauben manipulierten Apps das Auslesen anderer Programme. Hierbei können, laut einer Studie von sechs Sicherheitsforschern, auch Passwörter und andere sensitive Daten ausgelesen werden.

Obwohl der Großteil der Schwachstellen Mac OS X betrifft, ist auch iOS zum Teil anfällig. In einem Test war es den Sicherheitsforschern gelungen, erfolgreich manipulierte Apps in den Appstore zu stellen. Die Apps wurden nach dem Test allerdings aus Sicherheitsgründen wieder zurückgezogen. Eine große Schwachstelle stellen Systemdienste dar, welche die Kommunikation der Apps untereinander erlauben. Angriffe welche sich diese Schwachstelle zu Nutzen machen nennt man "Cross-App Resource Access Attacks" (XARA). Selbst wenn man die Apps isoliert funktionieren diese Angriffe.

Eine Sicherheitslücke in Apples Schlüsselbund in Mac OS X, welcher sämtliche Benutzerdaten und Passwörter im System verwaltet, erlaubt einer App das Auslesen von Daten einer anderen App, wie beispielsweise Internetaccounts, iCloud tokens oder E-Mail Konten. Dies funktioniert jedoch nicht in iOS. Die Sicherheitslücke wurde Apple im Oktober 2014 mitgeteilt, ein halbes Jahr später erfolgten erste Sicherheitsmaßnahmen, welche jedoch umgangen werden können.

Abgesehen von der Sicherheitslücke im Schlüsselbund können manipulierte Apps auch in die Sandbox anderer Programme eindringen und Daten abfragen, zum Beispiel über Browser-Erweiterungen oder WebSockets. Zudem ist es sowohl auf OS X als auch auf iOS möglich, durch das Entführen von URL-Schemata Passwörter oder anmelde Tokens bei der Kommunikation zwischen Apps abzufangen. Apps können für das System URL-Schemes definieren, wodurch Sie von anderen Apps angesprochen werden können. Hierbei kann fast jedes URL-Scheme von der App verwendet werden. Bei einer Doppelbelegung eines Schemas leitet iOS die zuletzt registrierte App weiter. Dies hat zufolge, dass auch später installierte Mallware URL-Schamata beliebiger Apps entführen kann.

Im Rahmen der Studie, ergab die Prüfung von 1600 Mac-Apps und iOSApps, dass 88% der Apps für mindestens eine Schwachstelle anfällig sind. Ein Teil dieser Schwachstellen kann jedoch nur durch Apple behoben werden. Auch soll, seitens der App-Entwickler, die Interaktion der Apps besser geprüft werden, damit keine sensitiven Daten wie Passwörter entwendet werden können. (BM)
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.