Apple: Sicherheitslücken in iOS und OS X erlauben Auslesen von App-Passwörtern und Schlüsselbund
Es gibt eine gravierende Sicherheitslücke in iOS und OS X, die heute veröffentlicht wurde. Dass es noch keinen Patch gibt, dürfte am Umfang der Lücke liegen, Apple wusste seit Oktober 2014 von der Lücke und bat die Entdecker um sechs Monate Zeit, bevor man die Lücke publik macht. Dies geschah nun, einen Fix für die Systeme fehlt allerdings noch.
Den Forschern gelang es, eine App durch die Prüfung des App Stores zu bringen, die einen Angriff auf das Keychain-Tool (Apples Passwortverwaltung) sowie auf App-eigene Passwörter erlaubt. Betroffen sind auch Apples eigene Apps, zum Beispiel die Mail-App. Und iCloud-Tokens können auch abgegriffen werden.
Voraussetzung ist natürlich eine schädliche App, die es erst einmal in den iOS oder Mac App Store schaffen muss. Dies ist in diesem Fall gelungen. Die manipulierten Apps waren in der Lage rund 89 Prozent der 1.800 getesteten Apps komplett auszulesen. Die Keychain-Attacke ist für den Nutzer noch halbwegs nachvollziehbar. Sie funktioniert so, dass die Malware den Keychain-Abschnitt für eine App löscht und einen neuen anlegt, den die App selbst auch auslesen kann. Der Nutzer muss daraufhin seine Login-Daten für diesen Keychain-Eintrag neu anlegen.
Der einzige Schutz ist momentan, auf Downloads von Entwicklern, die man nicht kennt, zu verzichten. Da die Apps durch Apples App Store Kontrolle kamen, ist eine Beschränkung auf Downloads aus den offiziellen Stores in diesem Fall leider auch nicht die Lösung. Immerhin benötigt es die Installation einer App, der Angriff kann nicht über den Besuch einer Webseite oder auf andere Weise ausgeführt werden.
Die Ausführungen der Entdecker der Lücke könnt Ihr an dieser Stelle nachlesen. Kommentatoren bei Hacker News weisen darauf hin, dass der Bericht nicht ganz korrekt formuliert sei, die Lücke deshalb aber nicht ungefährlicher sei. Passt also künftig besser auf, was Ihr Euch auf Euren iOS- oder OS X-Geräten so installiert, verseuchte Apps können leider nicht ausgeschlossen werden.
Update Carsten Knobloch, 17:30 Uhr: Im Falle von OS X ist es offenbar so, dass auch eine App, die nicht aus dem App Store kommt, ein Einfallstor sein soll.
Wird geladen ...
@Micha
Heartbleed war nach bekannt werden ich glaube eine Woche später gefixt, das hat so lange gedauert weil man Google Amazon etc Zeit geben wollte ihre System zu sicheren.
Wie lange dauert dieser Bug hier ? Halbes Jahr und noch kein Fix in Sicht ? Merkst du was, es geht nicht um das Auftauchen solcher Fehler sondern wie schnell die behoben werden. Kein System ist Fehlerfrei, das erwartet niemand, es geht darum das solche Fehler schnell gefixt werden. Ach so Heartbleed wurde übrigens bei Apple mit Abstand, als letztes geschlossen nur mal so nebenbei.
@HO
Du sagst also das OSX/iOS so dermaßen unsicher ist das nur die Tatsache das es so wenig verbreitet ist nicht mehr passiert ? Ist das jetzt gut oder ?
Bzw wir sollten mal bei der aktuellen Generation bei Betriebssystemen bleiben (Vista+), alles andere wird leicht unfair. MS hat zu recht viel Prügel für XP eingesteckt.
Auch hier mir geht es nicht darum das kein Bug mal auftauchen darf, das ist normal das passiert.
Wichtig ist das diese Fehler schnell behoben werden, das schafft/will Apple scheinbar nicht.
Jetzt sind schon mehrere Fehler aufgetaucht die erst dann gefixt werden wenn sie Potentiell massiven Schaden angerichtet haben und die Öffentlichkeit das Wahrnimmt trotz das die schon lange bekannt waren. Daraus muss man ja schließen das Apple erst dann fixt wenn die ersten Kunden massiv geschädigt wurden trotz das man schon vorher problemlos das hätte fixen können. Das wirkt jetzt auf mich nicht direkt angenehm. Anderseits sind das ja keine neuen Erkenntnisse, Apple ist in Sachen Sicherheit schon lange auf dem letzten Platz unter den Großen.
Ich installiere mir ausschließlich nur populäre Apps wie Twitter, Instagram, Sky Guide, Threema, Enlight usw. – da sollte ich auf der sicheren Seite sein ^^, aber trotzdem sollte Apple diese Sicherheitslücke baldmöglichst schließen.
Klingt als hätte Apple hier Mist gebaut. Fehler in der Software sind normal. Diese aber in 6 Monaten nicht zu fixen ist Mist. Das der Unicode Bug auch wohl erst mit iOS 8.4 gefixt wird, das wohl erst am 30.04 kommt ist lächerlich. Mir hat es dank dem Unicode-Bug auch schon eine Apple Watch so zerschossen, das ich erst 1-2 Stunden rumfummeln musste.
Wie wärs mit einem neuen Build und 8.3.1?
@icancompute: Mit geschlossenen Systemen hat das nix zu tun. Siehe Heartbleed.
Fakt ist halt auch das am Ende nur Technikbegeisterte Leute von solchen Lücken lesen und 95% der Käufer garnichts davon weiß (und wissen will). D.h. der PR-Schaden ist relativ minimal.
Apple ist unter Tim Cook aber offener geworden und ich hoffe das sie auch dieses Problem angehen. Das mit der Privatsphäre von Nutzern kauf ich ihnen ab.
Oh Mann, jetzt kommen wieder alle Blogkommentatorenspezialprofis aus ihren Löchern gekrochen, die es mit den Infos, die sie aus einem Blogeintrag haben natürlich besser wissen als die zehn begabtesten Prozent der Branche..
@Theo,
„[…]Für die meisten der von Wardle beschriebenen Modifikationen sind Root-Rechte nötig.[…]“
>> Wie? Was? Mit Root-Rechten kann man ein System kompromittieren? Sowas kann auch ausschließlich Apple bringen.
Oh Mann….
@Erik, warum unterschlägst du den Rest des Satzes?
„Diese [Root-Rechte] sind aber beispielsweise durch die noch nicht vollständig geschlossene Rootpipe-Lücke zu erlangen. Wardle hat wenige Tage vor seiner Präsentation ein Video veröffentlicht, das dies demonstriert.“
Merkst du noch was? Mit deinem Apple-Schöngerede tust du dir selber keinen Gefallen. Im Gegenteil. Auch dir scheint der Ruf von Apple wichtiger zu sein als deine Sicherheit und die der anderen Apple-User.
@plantoschka
Finde ich schon. Unter Android kann man sich in Abhängigkeit des Problems, der eigenen Fähigkeiten und der Community evtl. selbst helfen.
Im Fall von Heartbleed zum Beispiel eine ältere Android-Version flashen, da zum damaligen Zeitpunkt nur Android 4.1.1 betroffen war. (https://de.wikipedia.org/wiki/Heartbleed#Trivia)
Bei Apple hat der Nutzer gar keine Alternative, sondern ist komplett auf den Hersteller/Entwickler angewiesen. Und Apples bisheriges Verhalten bezüglich Sicherheit ist da auch nicht gerade ein Trost.
@Theo,
sorry, du hast leider verspielt – dein Link und dein Zitat war nicht zu einem Artikel über die Rootpipelücke sondern zu einem Artikel über die vermeintlichen Enthüllungen irgendeines Wichtigtuers. 🙁
Nächstes Mal vielleicht!
PS: Selbst zum Ausnutzen, der Rootpipelücke brauchst du lokalen Zugriff auf die Maschine. Das ist nicht schön, aber sicher auch nicht „Es kommt noch dicker“, zumal dein Zitat damit ja eh nix zu tun hatte eh eh eh
@Erik, mach dich nicht noch lächerlicher. Du hast ein verstümmeltes Zitat gebracht, um die Aussage gezielt zu verdrehen. Und ich habe das verstümmelte Zitat lediglich wieder vervollständigt. Kann man alles unter dem oben verlinkten Artikel von Heise Security nachlesen.
Du gibt hier als Fanboy ein ziemliches jämmerliches Bild eines iSheep ab und tust damit den anderen Apple-Usern keinen Gefallen.
Theo,
die Aussage des Artikels ist sinngemäß – Man kann mit Rootaccess ein System kompromittieren. Rootaccess kann man mit einer Lücke erlangen, zu deren Ausnutzung man lokal Zugriff auf das System, welches kompromittiert werden soll, benötigt.
Gähn.
Das ist schon wirklich ein krasser Skandal. Liest man ja auch jeden Tag von, dass das absolut relevant ist in der Praxis. Apple sollte den Laden einfach dicht machen. Dann würde man auch weniger Getrolle lesen.
Wenigstens Erik wird meinen Erwartungen gerecht. Fass, isheep, fass! 😉
Hut ab, wie Apple seine Jünger im Griff hat. Wie die Jungpioniere noch 1989 an den Sozialismus glaubten – oder andere Beispiele noch früher 🙂 Klasse!
Na ja, Sicherheitslücken sind nie schön, aber wenn wegen fast nichts ein halber Skandal losgetreten wird, deutet eher das auf einen Beißreflex hin. Argumentativ bringst du schließlich auch eher nichts 🙂
Ach Erik, erkenn doch: deine Religion ist gar keine, sondern knallharter Kapitalismus. Erniedrige dich doch nicht weiter selbst für andere, für die du nur Ressource bist.
Uh oh, ich sehe schon, das Thema wurde wohl von der Trollfraktion entdeckt..
Klick >>
http://www.faz.net/aktuell/feuilleton/medien/hass-im-netz-ich-bin-der-troll-13139203.html
@Erik: Jo, das passt. Abgesehen vom reichlich gestellten Beispiel ist die Parallele ja frappierend: ehem. Grenzer als Troll und hier die isheeps. Genau da liegt ja die Gemeinsamkeit. Kenne keine fanatischeren trolls als die isheeps.
Hier noch mal eine fundierte Meinung aus dem Agile Bytes Blog:
https://blog.agilebits.com/2015/06/17/1password-inter-process-communication-discussion/
Es muss wirklich viel zusammen kommen, damit der Hack funktioniert. Vor allem auch noch der Nutzer.