Apple: Sicherheitslücken in iOS und OS X erlauben Auslesen von App-Passwörtern und Schlüsselbund

17. Juni 2015 Kategorie: Apple, Backup & Security, iOS, geschrieben von:

Es gibt eine gravierende Sicherheitslücke in iOS und OS X, die heute veröffentlicht wurde. Dass es noch keinen Patch gibt, dürfte am Umfang der Lücke liegen, Apple wusste seit Oktober 2014 von der Lücke und bat die Entdecker um sechs Monate Zeit, bevor man die Lücke publik macht. Dies geschah nun, einen Fix für die Systeme fehlt allerdings noch.

Apple

Den Forschern gelang es, eine App durch die Prüfung des App Stores zu bringen, die einen Angriff auf das Keychain-Tool (Apples Passwortverwaltung) sowie auf App-eigene Passwörter erlaubt. Betroffen sind auch Apples eigene Apps, zum Beispiel die Mail-App. Und iCloud-Tokens können auch abgegriffen werden.

Voraussetzung ist natürlich eine schädliche App, die es erst einmal in den iOS oder Mac App Store schaffen muss. Dies ist in diesem Fall gelungen. Die manipulierten Apps waren in der Lage rund 89 Prozent der 1.800 getesteten Apps komplett auszulesen. Die Keychain-Attacke ist für den Nutzer noch halbwegs nachvollziehbar. Sie funktioniert so, dass die Malware den Keychain-Abschnitt für eine App löscht und einen neuen anlegt, den die App selbst auch auslesen kann. Der Nutzer muss daraufhin seine Login-Daten für diesen Keychain-Eintrag neu anlegen.

Der einzige Schutz ist momentan, auf Downloads von Entwicklern, die man nicht kennt, zu verzichten. Da die Apps durch Apples App Store Kontrolle kamen, ist eine Beschränkung auf Downloads aus den offiziellen Stores in diesem Fall leider auch nicht die Lösung. Immerhin benötigt es die Installation einer App, der Angriff kann nicht über den Besuch einer Webseite oder auf andere Weise ausgeführt werden.

Die Ausführungen der Entdecker der Lücke könnt Ihr an dieser Stelle nachlesen. Kommentatoren bei Hacker News weisen darauf hin, dass der Bericht nicht ganz korrekt formuliert sei, die Lücke deshalb aber nicht ungefährlicher sei. Passt also künftig besser auf, was Ihr Euch auf Euren iOS- oder OS X-Geräten so installiert, verseuchte Apps können leider nicht ausgeschlossen werden.

Update Carsten Knobloch, 17:30 Uhr: Im Falle von OS X ist es offenbar so, dass auch eine App, die nicht aus dem App Store kommt, ein Einfallstor sein soll.

(Quelle: The Register)

Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9397 Artikel geschrieben.