Xara: Kritische Sicherheitslücken gefährden iOS und OS X

Mehrere Zero-Day-Lücken gefährden Apples Mac OS X und Mobilbetriebssystem iOS. Die kritischen Schwachstellen haben sechs Forscher der Indiana University, Peking University und des Georgia Institute of Technology entdeckt. Angreifer können die Xara genannten Anfälligkeiten ausnutzen, um Apples Passwort-Manager Keychain zu kompromittieren. Zudem sind sie damit in der Lage, das bisher als sicher eingestufte Genehmigungsverfahren für Apples App Store zu umgehen.

Seit Oktober 2014 weiß Apple über die Sicherheitslücken Bescheid. Die Forscher hielten Details über die Schwachstellen einem Bericht von The Register zufolge auf Bitten von Apple sechs Monate geheim. Allerdings habe sich der iPhone-Hersteller seitdem nicht mehr bei den Forschern gemeldet. Aus diesem Grund hätten sich die Forscher entschieden, die Öffentlichkeit zu informieren.

“Kürzlich haben wir einige überraschende Anfälligkeiten in Apples Mac OS und iOS gefunden, die es gefährlichen Apps erlauben, unautorisiert auf sensible Daten anderer Apps wie Passwörter und Tokens für iCloud, Mail-App und alle in Chrome gespeicherten Passwörter zuzugreifen”, sagte Luyi Xing von der Indiana University im Gespräch mit The Register. “Unsere manipulierten Apps durchliefen erfolgreich Apples Prüfverfahren und wurden im Map App Store und iOS App Store veröffentlicht.”

Mit einer dieser Apps konnten die Forscher bestehende Einträge in Keychain löschen oder neue Einträge im Namen einer legitimen App anlegen. Apples Schlüsselband sei nicht in der Lage zu prüfen, ob eine App tatsächlich berechtigt ist, Einträge zu bearbeiten. Im Anschluss konnte die gefährliche Anwendung auf sämtliche Einträge eines legitimen Programms zugreifen.

Wie The Register weiter berichtet, habe Google die Keychain-Integration bereits aus Chrome entfernt. Zudem weise der Konzern drauf hin, dass das Problem wahrscheinlich nicht auf Anwendungsebene zu lösen sei. Auch Jeffrey Goldberg, CEO von Agile Bits und Herausgeber von 1Password, räumte in einem Blog ein, man habe bisher keine Möglichkeit gefunden, diese Art von Angriff abzuwehren.

Auch im von iOS verwendeten URL-Schema haben die Forscher eine Schwachstelle entdeckt. Mithilfe einer präparierten App übernahmen sie auf einem iOS-Gerät das für die Facebook-Anmeldung verwendete Schema “fbauth://”. Sie konnten anschließend den Authentifizierungstoken des Facebook-Nutzers abfangen.

Neben Keychain sind den Forschern zufolge zahlreiche andere Apps von den Xara-Schwachstellen betroffen, die einen “unautorisierten, App übergreifenden Zugriff auf Ressourcen” erlauben. 88,6 Prozent von 1612 OS-X-Anwendungen und 200 iOS-Apps stufen die Forscher als “vollständig angreifbar” ein.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

18 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

19 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

19 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

24 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

2 Tagen ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

2 Tagen ago