Apple: Sicherheitslücken in iOS und OS X erlauben Auslesen von App-Passwörtern und Schlüsselbund

Es gibt eine gravierende Sicherheitslücke in iOS und OS X, die heute veröffentlicht wurde. Dass es noch keinen Patch gibt, dürfte am Umfang der Lücke liegen, Apple wusste seit Oktober 2014 von der Lücke und bat die Entdecker um sechs Monate Zeit, bevor man die Lücke publik macht. Dies geschah nun, einen Fix für die Systeme fehlt allerdings noch.

Apple

Den Forschern gelang es, eine App durch die Prüfung des App Stores zu bringen, die einen Angriff auf das Keychain-Tool (Apples Passwortverwaltung) sowie auf App-eigene Passwörter erlaubt. Betroffen sind auch Apples eigene Apps, zum Beispiel die Mail-App. Und iCloud-Tokens können auch abgegriffen werden.

Voraussetzung ist natürlich eine schädliche App, die es erst einmal in den iOS oder Mac App Store schaffen muss. Dies ist in diesem Fall gelungen. Die manipulierten Apps waren in der Lage rund 89 Prozent der 1.800 getesteten Apps komplett auszulesen. Die Keychain-Attacke ist für den Nutzer noch halbwegs nachvollziehbar. Sie funktioniert so, dass die Malware den Keychain-Abschnitt für eine App löscht und einen neuen anlegt, den die App selbst auch auslesen kann. Der Nutzer muss daraufhin seine Login-Daten für diesen Keychain-Eintrag neu anlegen.

Der einzige Schutz ist momentan, auf Downloads von Entwicklern, die man nicht kennt, zu verzichten. Da die Apps durch Apples App Store Kontrolle kamen, ist eine Beschränkung auf Downloads aus den offiziellen Stores in diesem Fall leider auch nicht die Lösung. Immerhin benötigt es die Installation einer App, der Angriff kann nicht über den Besuch einer Webseite oder auf andere Weise ausgeführt werden.

Die Ausführungen der Entdecker der Lücke könnt Ihr an dieser Stelle nachlesen. Kommentatoren bei Hacker News weisen darauf hin, dass der Bericht nicht ganz korrekt formuliert sei, die Lücke deshalb aber nicht ungefährlicher sei. Passt also künftig besser auf, was Ihr Euch auf Euren iOS- oder OS X-Geräten so installiert, verseuchte Apps können leider nicht ausgeschlossen werden.

Update Carsten Knobloch, 17:30 Uhr: Im Falle von OS X ist es offenbar so, dass auch eine App, die nicht aus dem App Store kommt, ein Einfallstor sein soll.

(Quelle: The Register)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. „…und bat die Entdecker um sechs Monate Zeit, bevor man die Lücke publik macht.“ DAs jawohl ein schlechter Scherz oder? Das geht ja mal gar nicht. Will gar nicht wissen wie viel Schweigegeld oder kostenlose Apple-Geräte er dafür bekommen hat. ^^

  2. Um es etwas mal deutlicher zu schreiben. Sämtliche persönliche Daten unter OSX und iOS sind momentan Freiwild.

  3. @Daniel
    Jupp. Ein Angriff auf die KeyChain gehört mit zu den schlimmsten Sachen. Sehr unschön.

    @Soulfly999
    Das eine Lücke nicht sofort publik gemacht wird ist gut und üblich. 6 Monate find ich allerdings schon etwas … sehr viel.

  4. Wie schon erwähnt reden wir hier von SECHS MONATEN und ist bis jetzt noch nicht mal gefixt. Find ich schon krass…

  5. „Dass es noch keinen Patch gibt, dürfte am Umfang der Lücke liegen“ Joa. Ist jetzt auch wilde Spekulation. Wenn man schon ein halbes Jahr Zeit bekommt, sollte das auch für größere Lücken mehr als genug sein. Man denke nur an Heartbleed o.Ä. Fälle aus der open source community.

    Ein Schuft, wer böses dabei denkt…

  6. GongGonzo says:

    @Goran: So wie ich es verstanden habe hat er Apple vor 6 Monaten informiert und es ist noch nicht reagiert worden!

  7. Schwerwiegendes Problem. Da wird das geschlossene System schnell zur Falle.

  8. DancingBallmer says:

    Mit vetrauenswürdigen Entwicklern allein ist es leider nicht getan, denn bei denen muß nur die Seite übernommen werden und dann hat man dank AutoUpdate den Salat. Als Beispiel sei da nur Notepad++ genannt. Habe hier leider einige kleinere Programme von Ein-Mann-Entwicklern installiert, bei denen sowas schnell passieren könnte. Ich hoffe Apple gibt bald ein Kommentar ab, bzw. wie und bis wann man das Problem lösen will.

  9. Das wie vielte Totalversagen seitens Apple (in Sachen Sicherheit) war das innerhalb von einem Jahr ? Ist man bei Apple so unfähig oder ist Sicherheit einfach völlig egal ?

    Ich hab kein Problem das so etwas auftreten kann, aber nach 6 Monaten hat man es nicht gefixt bekommen ? Bitte wie ?

    Aber gut bei Sicherheitsexperten ist Apple ja schon immer das Sicherheits-Schlusslicht gewesen, nur die Fanboys verbreiten noch die Märchen vom besonders sicheren Apple OS.

    Wenn bekannte riesengroße Löcher nach über einem halben Jahr nicht geschlossen sind ist das eigentlich eine Bankrotterklärung der Sicherheitsabteilung. Aus the Fappening hat man ja scheinbar auch nichts gelernt, ist so etwas nicht strafbar ?

  10. Wo sind denn jetzt die isheep-Kommentare von HO, lentille oder Janina? Leute, bitte, rückt mir die ins Rutschen geratene Apple-Welt wieder zurecht!

  11. derGeraet says:

    @namerp: Da kann ich dir nur Recht geben!

    GOTO FAIL,
    The Fappening,
    der Unicode-Fuckup (der immerhin nicht sicherheitskritisch war),
    der Apple Mail Bug (der ein Nachahmen des Passwort-Feldes zulaesst),
    der Fuckup wo einfach mal das UEFI beschreibbar wurde und jetzt
    das hier.

    Was geht bei euch, Apple!?

  12. @namerp
    du musst unterscheiden zwischen theoretischer gefahr und echter gefahr in der praxis. bei windows war bzw ist es alltag, dass ich mit viren, etc. zu kämpfen habe. auf meinem mac habe ich in 7,5 jahren noch nie damit zu tun gehabt. theorie und praxis bleiben zwei unterschiediche dinge.

    warum aber apple diese zeitspanne nicht nutzt bzw die zeit nicht ausreicht, um das schon vor veröffentlichung zu patchen, bleibt deren geheimnis. auch wenn es kein großes problem darstellt in der praxis, weil man sich ja erstmal eine solche app runterladen muss, so ist es halt doch imageschädigend für apple.

    @soulfly
    es ist völlig normal, dass die sicherheitsforscher der jeweiligen firma wochen oder monate vorsprung gibt, bevor die sicherheitslücke veröffentlicht wird.

  13. @ Ok, ich möchte Deine Hater-Erwartungen erfüllen: Was sagst Du denn zur brandaktuellen Samsung http Sicherheitslücke 😉

    Aber zum Thema: Es scheint eine ziemlich fiese Sicherheitslücke zu sein, bei der unverständlich bleibt wieso so lange kein Fix gekommen ist. Wenn man etwas näher einsteigt, scheint mit Ausnahme einer Angriffsvariante ausschließlich OS X betroffen zu sein. Nützt natürlich herzlich wenig, wenn ausgerechnet dass IOS Problem die eigenen Daten klaut.
    Als eifriger Nutzer des Schlüsselbundes wünsche ich mir Aufklärung von Apple….

  14. Wo sind eigentlich die ganzen Leute die hier immer von der ach so tollen Sicherheit in iOS reden ? Das ist nur der Anfang. Apple wird die gleichen Probleme bekommen die Microsoft mit Windows hat.

    Wenn ich Google wäre würde ich verstärkt nach Sicherheitslücken in iOS suchen und alles schön nach 90 Tagen veröffentlichen. Das wäre für Apple wohl der Supergau. Aber ich sag nur: „You’re holding it wrong“ 😉

  15. ja ja böses Apple sind die doch echt zu doof mal so ne fix zu liefern. Mit Open Source wäre das nie passiert. Wie war das nochmal mit Heartbleed und Co? War ja kein Fehler der Jahrelang offen stand, war ja auch OpenSource!
    Sarkasmus off.
    Im übrfigen es gibt kein sicheres System. man muss halt nur etwas länger suchen. Und bevor hier alle rumschreiben Google/ Android ist schöner und besser. Vergessen – dass es da einen bis heute nicht gefixten WebView-Bug gibt. Ist ja nicht so dass noch rund 40% der Geräte damit unterwegs sind.
    Der Tipp mit der App ist aber nur halbwegs sinnvoll. Sie oben in einem Kommentar. Besser sollte der Tipp sein, dass bei einem alle Alarmglocken schrillen sollen, wenn man die Passwörter neu eingeben soll. Und dies insbesondere dann, wenn man „nur“ eine App aktuallsiert/ neu installiert hat

  16. derGeraet says:

    @Micha: Es geht hier meines Erachtens um die Haeufigkeit, mit der das bei Apple in letzter Zeit passiert. Ich glaube auch, dass dieser Artikel fuer dich interessant ist: http://de.wikipedia.org/wiki/Whataboutism

  17. @derGeraet
    Ist es so oder ist es eher gefühlt so. Vielleicht auch weil irgendwas Apple immer mehr und bessere Schlagzeilen produziert?

  18. Sicherheitsforscher haben schon mehrfach darauf hingewiesen, dass die Apple-Betriebssysteme die unsichersten auf dem Markt sind. Bei der Anzahl der Sicherheitslücken stehen Mac OS X und iOS ganz oben.

    Aber nicht nur das Versagen von Apple im Sicherheitsbereich ist das Problem, sondern auch deren Kommunikationsstrategie. Probleme werden eben – so lange es geht – verschwiegen und dann heruntergespielt. Reagiert wird meist erst auf öffentlichen Druck.

  19. @Micha Sicherheitslücken stehen so lange offen, bis sie gefunden werden. Wenn eine Software, so wie OpenSSL im Falle Heartbleed, jahre alt ist, ist auch die Lücke i.d.R. jahrealt. Gut erkannt!

    Dass eine Schwachstelle allerdings auch ein halbe Jahr nach Entdeckung immer noch ungepatched ist, *das* ist der springende Punkt. Heartbleed war noch am selben Tag (!) in den Repos und konnte dann innerhalb von Sekunden weltweit installiert werden. Nur deshalb hat so eine schwerwiegende Lücke kaum Schäden hinterlassen.

    Zu WebView: Klar, hätte gefixt werden sollen. Keine Frage: Dennoch handelt es sich bisher nur um ein Proof Of Concept, ohne konkrete Anwendung. Zudem bestehen mehrere Möglichkeiten, die Lücke zu schließen. Allen voran natürlich das Update; man könnte an dieser Stelle natürlich über die Update-Politik Googles diskutieren, aber das ist ein anderer Stiefel.

    Und wenn ich das hier (https://youtu.be/IYZkAIIzsIo) sehe, kann ich mir sehr gut vorstellen, dass diese Lücke auch in der Praxis ausgenutzt werden kann! Da muss sich die App nur gut genug tarnen, und dann eine Art OAuth vorgauckeln. Vielleicht wird nicht jeder darauf reinfallen, aber besonders wenn man in Hinterkopf behält, dass die App es auch in den Store geschafft hat, gäbe es sicherlich viele potentielle Opfer.

  20. Apple ist halt leider das öffentliche Image wichtiger als die Sicherheit seiner Kunden.

    Aber die iSheep sind mit schuld dran. Weil sie das Verhalten von Apple nicht nur hinnehmen, sondern sogar noch herunterspielen oder sogar verteidigen.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.