Apple: Sicherheitslücken in iOS und OS X erlauben Auslesen von App-Passwörtern und Schlüsselbund

Es gibt eine gravierende Sicherheitslücke in iOS und OS X, die heute veröffentlicht wurde. Dass es noch keinen Patch gibt, dürfte am Umfang der Lücke liegen, Apple wusste seit Oktober 2014 von der Lücke und bat die Entdecker um sechs Monate Zeit, bevor man die Lücke publik macht. Dies geschah nun, einen Fix für die Systeme fehlt allerdings noch.

Apple

Den Forschern gelang es, eine App durch die Prüfung des App Stores zu bringen, die einen Angriff auf das Keychain-Tool (Apples Passwortverwaltung) sowie auf App-eigene Passwörter erlaubt. Betroffen sind auch Apples eigene Apps, zum Beispiel die Mail-App. Und iCloud-Tokens können auch abgegriffen werden.

Voraussetzung ist natürlich eine schädliche App, die es erst einmal in den iOS oder Mac App Store schaffen muss. Dies ist in diesem Fall gelungen. Die manipulierten Apps waren in der Lage rund 89 Prozent der 1.800 getesteten Apps komplett auszulesen. Die Keychain-Attacke ist für den Nutzer noch halbwegs nachvollziehbar. Sie funktioniert so, dass die Malware den Keychain-Abschnitt für eine App löscht und einen neuen anlegt, den die App selbst auch auslesen kann. Der Nutzer muss daraufhin seine Login-Daten für diesen Keychain-Eintrag neu anlegen.

Der einzige Schutz ist momentan, auf Downloads von Entwicklern, die man nicht kennt, zu verzichten. Da die Apps durch Apples App Store Kontrolle kamen, ist eine Beschränkung auf Downloads aus den offiziellen Stores in diesem Fall leider auch nicht die Lösung. Immerhin benötigt es die Installation einer App, der Angriff kann nicht über den Besuch einer Webseite oder auf andere Weise ausgeführt werden.

Die Ausführungen der Entdecker der Lücke könnt Ihr an dieser Stelle nachlesen. Kommentatoren bei Hacker News weisen darauf hin, dass der Bericht nicht ganz korrekt formuliert sei, die Lücke deshalb aber nicht ungefährlicher sei. Passt also künftig besser auf, was Ihr Euch auf Euren iOS- oder OS X-Geräten so installiert, verseuchte Apps können leider nicht ausgeschlossen werden.

Update Carsten Knobloch, 17:30 Uhr: Im Falle von OS X ist es offenbar so, dass auch eine App, die nicht aus dem App Store kommt, ein Einfallstor sein soll.

(Quelle: The Register)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. „…und bat die Entdecker um sechs Monate Zeit, bevor man die Lücke publik macht.“ DAs jawohl ein schlechter Scherz oder? Das geht ja mal gar nicht. Will gar nicht wissen wie viel Schweigegeld oder kostenlose Apple-Geräte er dafür bekommen hat. ^^

  2. Um es etwas mal deutlicher zu schreiben. Sämtliche persönliche Daten unter OSX und iOS sind momentan Freiwild.

  3. @Daniel
    Jupp. Ein Angriff auf die KeyChain gehört mit zu den schlimmsten Sachen. Sehr unschön.

    @Soulfly999
    Das eine Lücke nicht sofort publik gemacht wird ist gut und üblich. 6 Monate find ich allerdings schon etwas … sehr viel.

  4. Wie schon erwähnt reden wir hier von SECHS MONATEN und ist bis jetzt noch nicht mal gefixt. Find ich schon krass…

  5. „Dass es noch keinen Patch gibt, dürfte am Umfang der Lücke liegen“ Joa. Ist jetzt auch wilde Spekulation. Wenn man schon ein halbes Jahr Zeit bekommt, sollte das auch für größere Lücken mehr als genug sein. Man denke nur an Heartbleed o.Ä. Fälle aus der open source community.

    Ein Schuft, wer böses dabei denkt…

  6. GongGonzo says:

    @Goran: So wie ich es verstanden habe hat er Apple vor 6 Monaten informiert und es ist noch nicht reagiert worden!

  7. Schwerwiegendes Problem. Da wird das geschlossene System schnell zur Falle.

  8. DancingBallmer says:

    Mit vetrauenswürdigen Entwicklern allein ist es leider nicht getan, denn bei denen muß nur die Seite übernommen werden und dann hat man dank AutoUpdate den Salat. Als Beispiel sei da nur Notepad++ genannt. Habe hier leider einige kleinere Programme von Ein-Mann-Entwicklern installiert, bei denen sowas schnell passieren könnte. Ich hoffe Apple gibt bald ein Kommentar ab, bzw. wie und bis wann man das Problem lösen will.

  9. Das wie vielte Totalversagen seitens Apple (in Sachen Sicherheit) war das innerhalb von einem Jahr ? Ist man bei Apple so unfähig oder ist Sicherheit einfach völlig egal ?

    Ich hab kein Problem das so etwas auftreten kann, aber nach 6 Monaten hat man es nicht gefixt bekommen ? Bitte wie ?

    Aber gut bei Sicherheitsexperten ist Apple ja schon immer das Sicherheits-Schlusslicht gewesen, nur die Fanboys verbreiten noch die Märchen vom besonders sicheren Apple OS.

    Wenn bekannte riesengroße Löcher nach über einem halben Jahr nicht geschlossen sind ist das eigentlich eine Bankrotterklärung der Sicherheitsabteilung. Aus the Fappening hat man ja scheinbar auch nichts gelernt, ist so etwas nicht strafbar ?

  10. Wo sind denn jetzt die isheep-Kommentare von HO, lentille oder Janina? Leute, bitte, rückt mir die ins Rutschen geratene Apple-Welt wieder zurecht!

  11. derGeraet says:

    @namerp: Da kann ich dir nur Recht geben!

    GOTO FAIL,
    The Fappening,
    der Unicode-Fuckup (der immerhin nicht sicherheitskritisch war),
    der Apple Mail Bug (der ein Nachahmen des Passwort-Feldes zulaesst),
    der Fuckup wo einfach mal das UEFI beschreibbar wurde und jetzt
    das hier.

    Was geht bei euch, Apple!?

  12. @namerp
    du musst unterscheiden zwischen theoretischer gefahr und echter gefahr in der praxis. bei windows war bzw ist es alltag, dass ich mit viren, etc. zu kämpfen habe. auf meinem mac habe ich in 7,5 jahren noch nie damit zu tun gehabt. theorie und praxis bleiben zwei unterschiediche dinge.

    warum aber apple diese zeitspanne nicht nutzt bzw die zeit nicht ausreicht, um das schon vor veröffentlichung zu patchen, bleibt deren geheimnis. auch wenn es kein großes problem darstellt in der praxis, weil man sich ja erstmal eine solche app runterladen muss, so ist es halt doch imageschädigend für apple.

    @soulfly
    es ist völlig normal, dass die sicherheitsforscher der jeweiligen firma wochen oder monate vorsprung gibt, bevor die sicherheitslücke veröffentlicht wird.

  13. @ Ok, ich möchte Deine Hater-Erwartungen erfüllen: Was sagst Du denn zur brandaktuellen Samsung http Sicherheitslücke 😉

    Aber zum Thema: Es scheint eine ziemlich fiese Sicherheitslücke zu sein, bei der unverständlich bleibt wieso so lange kein Fix gekommen ist. Wenn man etwas näher einsteigt, scheint mit Ausnahme einer Angriffsvariante ausschließlich OS X betroffen zu sein. Nützt natürlich herzlich wenig, wenn ausgerechnet dass IOS Problem die eigenen Daten klaut.
    Als eifriger Nutzer des Schlüsselbundes wünsche ich mir Aufklärung von Apple….

  14. Wo sind eigentlich die ganzen Leute die hier immer von der ach so tollen Sicherheit in iOS reden ? Das ist nur der Anfang. Apple wird die gleichen Probleme bekommen die Microsoft mit Windows hat.

    Wenn ich Google wäre würde ich verstärkt nach Sicherheitslücken in iOS suchen und alles schön nach 90 Tagen veröffentlichen. Das wäre für Apple wohl der Supergau. Aber ich sag nur: „You’re holding it wrong“ 😉

  15. ja ja böses Apple sind die doch echt zu doof mal so ne fix zu liefern. Mit Open Source wäre das nie passiert. Wie war das nochmal mit Heartbleed und Co? War ja kein Fehler der Jahrelang offen stand, war ja auch OpenSource!
    Sarkasmus off.
    Im übrfigen es gibt kein sicheres System. man muss halt nur etwas länger suchen. Und bevor hier alle rumschreiben Google/ Android ist schöner und besser. Vergessen – dass es da einen bis heute nicht gefixten WebView-Bug gibt. Ist ja nicht so dass noch rund 40% der Geräte damit unterwegs sind.
    Der Tipp mit der App ist aber nur halbwegs sinnvoll. Sie oben in einem Kommentar. Besser sollte der Tipp sein, dass bei einem alle Alarmglocken schrillen sollen, wenn man die Passwörter neu eingeben soll. Und dies insbesondere dann, wenn man „nur“ eine App aktuallsiert/ neu installiert hat

  16. derGeraet says:

    @Micha: Es geht hier meines Erachtens um die Haeufigkeit, mit der das bei Apple in letzter Zeit passiert. Ich glaube auch, dass dieser Artikel fuer dich interessant ist: http://de.wikipedia.org/wiki/Whataboutism

  17. @derGeraet
    Ist es so oder ist es eher gefühlt so. Vielleicht auch weil irgendwas Apple immer mehr und bessere Schlagzeilen produziert?

  18. Sicherheitsforscher haben schon mehrfach darauf hingewiesen, dass die Apple-Betriebssysteme die unsichersten auf dem Markt sind. Bei der Anzahl der Sicherheitslücken stehen Mac OS X und iOS ganz oben.

    Aber nicht nur das Versagen von Apple im Sicherheitsbereich ist das Problem, sondern auch deren Kommunikationsstrategie. Probleme werden eben – so lange es geht – verschwiegen und dann heruntergespielt. Reagiert wird meist erst auf öffentlichen Druck.

  19. @Micha Sicherheitslücken stehen so lange offen, bis sie gefunden werden. Wenn eine Software, so wie OpenSSL im Falle Heartbleed, jahre alt ist, ist auch die Lücke i.d.R. jahrealt. Gut erkannt!

    Dass eine Schwachstelle allerdings auch ein halbe Jahr nach Entdeckung immer noch ungepatched ist, *das* ist der springende Punkt. Heartbleed war noch am selben Tag (!) in den Repos und konnte dann innerhalb von Sekunden weltweit installiert werden. Nur deshalb hat so eine schwerwiegende Lücke kaum Schäden hinterlassen.

    Zu WebView: Klar, hätte gefixt werden sollen. Keine Frage: Dennoch handelt es sich bisher nur um ein Proof Of Concept, ohne konkrete Anwendung. Zudem bestehen mehrere Möglichkeiten, die Lücke zu schließen. Allen voran natürlich das Update; man könnte an dieser Stelle natürlich über die Update-Politik Googles diskutieren, aber das ist ein anderer Stiefel.

    Und wenn ich das hier (https://youtu.be/IYZkAIIzsIo) sehe, kann ich mir sehr gut vorstellen, dass diese Lücke auch in der Praxis ausgenutzt werden kann! Da muss sich die App nur gut genug tarnen, und dann eine Art OAuth vorgauckeln. Vielleicht wird nicht jeder darauf reinfallen, aber besonders wenn man in Hinterkopf behält, dass die App es auch in den Store geschafft hat, gäbe es sicherlich viele potentielle Opfer.

  20. Apple ist halt leider das öffentliche Image wichtiger als die Sicherheit seiner Kunden.

    Aber die iSheep sind mit schuld dran. Weil sie das Verhalten von Apple nicht nur hinnehmen, sondern sogar noch herunterspielen oder sogar verteidigen.

  21. @Micha
    Heartbleed war nach bekannt werden ich glaube eine Woche später gefixt, das hat so lange gedauert weil man Google Amazon etc Zeit geben wollte ihre System zu sicheren.
    Wie lange dauert dieser Bug hier ? Halbes Jahr und noch kein Fix in Sicht ? Merkst du was, es geht nicht um das Auftauchen solcher Fehler sondern wie schnell die behoben werden. Kein System ist Fehlerfrei, das erwartet niemand, es geht darum das solche Fehler schnell gefixt werden. Ach so Heartbleed wurde übrigens bei Apple mit Abstand, als letztes geschlossen nur mal so nebenbei.

    @HO
    Du sagst also das OSX/iOS so dermaßen unsicher ist das nur die Tatsache das es so wenig verbreitet ist nicht mehr passiert ? Ist das jetzt gut oder ?
    Bzw wir sollten mal bei der aktuellen Generation bei Betriebssystemen bleiben (Vista+), alles andere wird leicht unfair. MS hat zu recht viel Prügel für XP eingesteckt.

    Auch hier mir geht es nicht darum das kein Bug mal auftauchen darf, das ist normal das passiert.

    Wichtig ist das diese Fehler schnell behoben werden, das schafft/will Apple scheinbar nicht.

    Jetzt sind schon mehrere Fehler aufgetaucht die erst dann gefixt werden wenn sie Potentiell massiven Schaden angerichtet haben und die Öffentlichkeit das Wahrnimmt trotz das die schon lange bekannt waren. Daraus muss man ja schließen das Apple erst dann fixt wenn die ersten Kunden massiv geschädigt wurden trotz das man schon vorher problemlos das hätte fixen können. Das wirkt jetzt auf mich nicht direkt angenehm. Anderseits sind das ja keine neuen Erkenntnisse, Apple ist in Sachen Sicherheit schon lange auf dem letzten Platz unter den Großen.

  22. Ich installiere mir ausschließlich nur populäre Apps wie Twitter, Instagram, Sky Guide, Threema, Enlight usw. – da sollte ich auf der sicheren Seite sein ^^, aber trotzdem sollte Apple diese Sicherheitslücke baldmöglichst schließen.

  23. plantoschka says:

    Klingt als hätte Apple hier Mist gebaut. Fehler in der Software sind normal. Diese aber in 6 Monaten nicht zu fixen ist Mist. Das der Unicode Bug auch wohl erst mit iOS 8.4 gefixt wird, das wohl erst am 30.04 kommt ist lächerlich. Mir hat es dank dem Unicode-Bug auch schon eine Apple Watch so zerschossen, das ich erst 1-2 Stunden rumfummeln musste.
    Wie wärs mit einem neuen Build und 8.3.1?

    @icancompute: Mit geschlossenen Systemen hat das nix zu tun. Siehe Heartbleed.

    Fakt ist halt auch das am Ende nur Technikbegeisterte Leute von solchen Lücken lesen und 95% der Käufer garnichts davon weiß (und wissen will). D.h. der PR-Schaden ist relativ minimal.

    Apple ist unter Tim Cook aber offener geworden und ich hoffe das sie auch dieses Problem angehen. Das mit der Privatsphäre von Nutzern kauf ich ihnen ab.

  24. Oh Mann, jetzt kommen wieder alle Blogkommentatorenspezialprofis aus ihren Löchern gekrochen, die es mit den Infos, die sie aus einem Blogeintrag haben natürlich besser wissen als die zehn begabtesten Prozent der Branche..

  25. @Theo,

    „[…]Für die meisten der von Wardle beschriebenen Modifikationen sind Root-Rechte nötig.[…]“

    >> Wie? Was? Mit Root-Rechten kann man ein System kompromittieren? Sowas kann auch ausschließlich Apple bringen.
    Oh Mann….

  26. @Erik, warum unterschlägst du den Rest des Satzes?

    „Diese [Root-Rechte] sind aber beispielsweise durch die noch nicht vollständig geschlossene Rootpipe-Lücke zu erlangen. Wardle hat wenige Tage vor seiner Präsentation ein Video veröffentlicht, das dies demonstriert.“

    Merkst du noch was? Mit deinem Apple-Schöngerede tust du dir selber keinen Gefallen. Im Gegenteil. Auch dir scheint der Ruf von Apple wichtiger zu sein als deine Sicherheit und die der anderen Apple-User.

  27. @plantoschka
    Finde ich schon. Unter Android kann man sich in Abhängigkeit des Problems, der eigenen Fähigkeiten und der Community evtl. selbst helfen.
    Im Fall von Heartbleed zum Beispiel eine ältere Android-Version flashen, da zum damaligen Zeitpunkt nur Android 4.1.1 betroffen war. (https://de.wikipedia.org/wiki/Heartbleed#Trivia)
    Bei Apple hat der Nutzer gar keine Alternative, sondern ist komplett auf den Hersteller/Entwickler angewiesen. Und Apples bisheriges Verhalten bezüglich Sicherheit ist da auch nicht gerade ein Trost.

  28. @Theo,

    sorry, du hast leider verspielt – dein Link und dein Zitat war nicht zu einem Artikel über die Rootpipelücke sondern zu einem Artikel über die vermeintlichen Enthüllungen irgendeines Wichtigtuers. 🙁
    Nächstes Mal vielleicht!

    PS: Selbst zum Ausnutzen, der Rootpipelücke brauchst du lokalen Zugriff auf die Maschine. Das ist nicht schön, aber sicher auch nicht „Es kommt noch dicker“, zumal dein Zitat damit ja eh nix zu tun hatte eh eh eh

  29. @Erik, mach dich nicht noch lächerlicher. Du hast ein verstümmeltes Zitat gebracht, um die Aussage gezielt zu verdrehen. Und ich habe das verstümmelte Zitat lediglich wieder vervollständigt. Kann man alles unter dem oben verlinkten Artikel von Heise Security nachlesen.

    Du gibt hier als Fanboy ein ziemliches jämmerliches Bild eines iSheep ab und tust damit den anderen Apple-Usern keinen Gefallen.

  30. Theo,

    die Aussage des Artikels ist sinngemäß – Man kann mit Rootaccess ein System kompromittieren. Rootaccess kann man mit einer Lücke erlangen, zu deren Ausnutzung man lokal Zugriff auf das System, welches kompromittiert werden soll, benötigt.

    Gähn.

    Das ist schon wirklich ein krasser Skandal. Liest man ja auch jeden Tag von, dass das absolut relevant ist in der Praxis. Apple sollte den Laden einfach dicht machen. Dann würde man auch weniger Getrolle lesen.

  31. Wenigstens Erik wird meinen Erwartungen gerecht. Fass, isheep, fass! 😉
    Hut ab, wie Apple seine Jünger im Griff hat. Wie die Jungpioniere noch 1989 an den Sozialismus glaubten – oder andere Beispiele noch früher 🙂 Klasse!

  32. Na ja, Sicherheitslücken sind nie schön, aber wenn wegen fast nichts ein halber Skandal losgetreten wird, deutet eher das auf einen Beißreflex hin. Argumentativ bringst du schließlich auch eher nichts 🙂

  33. Ach Erik, erkenn doch: deine Religion ist gar keine, sondern knallharter Kapitalismus. Erniedrige dich doch nicht weiter selbst für andere, für die du nur Ressource bist.

  34. Uh oh, ich sehe schon, das Thema wurde wohl von der Trollfraktion entdeckt..

    Klick >>
    http://www.faz.net/aktuell/feuilleton/medien/hass-im-netz-ich-bin-der-troll-13139203.html

  35. @Erik: Jo, das passt. Abgesehen vom reichlich gestellten Beispiel ist die Parallele ja frappierend: ehem. Grenzer als Troll und hier die isheeps. Genau da liegt ja die Gemeinsamkeit. Kenne keine fanatischeren trolls als die isheeps.

  36. Hier noch mal eine fundierte Meinung aus dem Agile Bytes Blog:
    https://blog.agilebits.com/2015/06/17/1password-inter-process-communication-discussion/
    Es muss wirklich viel zusammen kommen, damit der Hack funktioniert. Vor allem auch noch der Nutzer.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.