Xara: Kritische Sicherheitslücken gefährden iOS und OS X

Security in Firmen (Bild: Shutterstock/Mikko Lemola)

Angreifer können mit einer manipulierten App auf Passwörter und Tokens für iCloud und Facebook zugreifen. Sicherheitsforscher konnten Apples Keychain und auch das Prüfverfahren für den App Store kompromittieren. Apple soll bereits seit Oktober 2014 von den Sicherheitslücken Kenntnis haben.

Mehrere Zero-Day-Lücken gefährden Apples Mac OS X und Mobilbetriebssystem iOS. Die kritischen Schwachstellen haben sechs Forscher der Indiana University, Peking University und des Georgia Institute of Technology entdeckt. Angreifer können die Xara genannten Anfälligkeiten ausnutzen, um Apples Passwort-Manager Keychain zu kompromittieren. Zudem sind sie damit in der Lage, das bisher als sicher eingestufte Genehmigungsverfahren für Apples App Store zu umgehen.

Seit Oktober 2014 weiß Apple über die Sicherheitslücken Bescheid. Die Forscher hielten Details über die Schwachstellen einem Bericht von The Register zufolge auf Bitten von Apple sechs Monate geheim. Allerdings habe sich der iPhone-Hersteller seitdem nicht mehr bei den Forschern gemeldet. Aus diesem Grund hätten sich die Forscher entschieden, die Öffentlichkeit zu informieren.

“Kürzlich haben wir einige überraschende Anfälligkeiten in Apples Mac OS und iOS gefunden, die es gefährlichen Apps erlauben, unautorisiert auf sensible Daten anderer Apps wie Passwörter und Tokens für iCloud, Mail-App und alle in Chrome gespeicherten Passwörter zuzugreifen”, sagte Luyi Xing von der Indiana University im Gespräch mit The Register. “Unsere manipulierten Apps durchliefen erfolgreich Apples Prüfverfahren und wurden im Map App Store und iOS App Store veröffentlicht.”

 

Mit einer dieser Apps konnten die Forscher bestehende Einträge in Keychain löschen oder neue Einträge im Namen einer legitimen App anlegen. Apples Schlüsselband sei nicht in der Lage zu prüfen, ob eine App tatsächlich berechtigt ist, Einträge zu bearbeiten. Im Anschluss konnte die gefährliche Anwendung auf sämtliche Einträge eines legitimen Programms zugreifen.

Wie The Register weiter berichtet, habe Google die Keychain-Integration bereits aus Chrome entfernt. Zudem weise der Konzern drauf hin, dass das Problem wahrscheinlich nicht auf Anwendungsebene zu lösen sei. Auch Jeffrey Goldberg, CEO von Agile Bits und Herausgeber von 1Password, räumte in einem Blog ein, man habe bisher keine Möglichkeit gefunden, diese Art von Angriff abzuwehren.

Auch im von iOS verwendeten URL-Schema haben die Forscher eine Schwachstelle entdeckt. Mithilfe einer präparierten App übernahmen sie auf einem iOS-Gerät das für die Facebook-Anmeldung verwendete Schema “fbauth://”. Sie konnten anschließend den Authentifizierungstoken des Facebook-Nutzers abfangen.

Neben Keychain sind den Forschern zufolge zahlreiche andere Apps von den Xara-Schwachstellen betroffen, die einen “unautorisierten, App übergreifenden Zugriff auf Ressourcen” erlauben. 88,6 Prozent von 1612 OS-X-Anwendungen und 200 iOS-Apps stufen die Forscher als “vollständig angreifbar” ein.

 

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de