Apple: XARA-Sicherheitslücke wird geschlossen, Anfang bereits gemacht
Eine massive Sicherheitslücke wurde diese Woche für OS X und iOS aufgedeckt. Diese erlaubt es Apps, Daten von anderen Apps auszulesen und auch auf Einträge im Schlüsselbund zuzugreifen. Obwohl Apple sechs Monate Zeit hatte, gab es bis zur Veröffentlichung der Lücke keinen Fix für das Problem. Den gibt es auch jetzt noch nicht, Apple arbeitet aber bereits an einer Lösung.
Die erste Lösung sieht so aus, dass Apple diese Woche bereits ein Sicherheitsupdate für den Mac App Store eingespielt hat. Dieses prüft Apps auf Probleme mit der Sandbox-Konfiguration und verweigert diesen dann den Zugang zum Mac App Store verweigert. Dies bestätigte Apple gegenüber iMore, teilt gleichzeitig aber auch noch mit, dass zusätzliche Fixes bereits in Arbeit sind und man mit den Sicherheitsforschern zusammenarbeitet, um die Fehler in den Griff zu bekommen.
Auch stellte sich heraus, dass XARA, ein Zusammenschluss mehrerer Exploits, unter iOS wohl wesentlich weniger kann als ursprünglich angenommen. Das ändert aber nichts an der Tatsache, dass OS X voll davon betroffen ist. Oftmals sind es allerdings auch schlecht entwickelte Apps, die solche Attacken überhaupt erst ermöglichen. Ebenfalls soll es nicht so sein, dass Apple die letzten sechs Monate einfach nur zugesehen hat. iMore geht davon aus, dass Lücken innerhalb der sechs Monate bereits geschlossen wurden und von den XARA-Veröffentlichern dann wieder umgangen wurden – ohne Apple einen neuen Zeitrahmen zu geben.
Wie auch immer die Wahrheit hinter XARA aussieht, ob Apple nun geschlafen hat oder die Sicherheitsforscher einfach neue Lücken gesucht haben, es wird eine Lösung für das Problem geben. Bis dahin kann man – eigentlich wie immer – jedem nur raten, sich keine Apps aus unbekannten Quellen zu installieren. Der Mac App Store dürfte mittlerweile wieder eine sichere Anlaufstelle sein, da das Sicherheitsupdate Apps nun erkennen sollten, die die XARA-Lücke ausnutzen.
iMore hat zudem eine Art FAQ zu XARA zusammengestellt. Kurzfassung: eigentlich alles gar nicht so wild, wenn man aufpasst. Ebenso ist es aber auch schwer, die Lücken dauerhaft zu schließen, ohne auf Nutzungskomfort zu verzichten. Die Langfassung findet Ihr hier.
Wird geladen ...
Mehr als ein halbes Jahr nach der Warnung, aber jetzt plötzlich ganz hektisch. Apple reagiert halt immer erst auf öffentlichen Druck, das Image ist ihnen am wichtigsten.
iMore leistet da richtig gute Aufklärungsarbeit. Super das ihr da hin linkt.
Anstatt Paranoia und boah ist Apple scheiße Posts, gibt es auch noch Leute die sich wirklich mit den Hintergründen und Details beschäftigen.
Warum kann nicht einfach nur die App auf den Eintrag zu greifen, den sie auch erstellt hat?
@GongGonzo: Einige Herstellen möchten, dass andere Apps des selben Herstellers die gleichen Anmeldedaten nutzen können. Z.B. einmal bei GMail anmelden und auch in den anderen Google Apps angemeldet sein.
Danke Apple 😀
@Tobi: Dann sagt man einfach jeder Eintrag bekommt einen Schlüssel für den Entwickler, hier darf dann zugriffen werden. Für das andere kann man dann noch immer als Option Daten kopieren anbieten, da muss der Nutzer aber selbständig handeln.