Apple: XARA-Sicherheitslücke wird geschlossen, Anfang bereits gemacht

Eine massive Sicherheitslücke wurde diese Woche für OS X und iOS aufgedeckt. Diese erlaubt es Apps, Daten von anderen Apps auszulesen und auch auf Einträge im Schlüsselbund zuzugreifen. Obwohl Apple sechs Monate Zeit hatte, gab es bis zur Veröffentlichung der Lücke keinen Fix für das Problem. Den gibt es auch jetzt noch nicht, Apple arbeitet aber bereits an einer Lösung.

Apple

Die erste Lösung sieht so aus, dass Apple diese Woche bereits ein Sicherheitsupdate für den Mac App Store eingespielt hat. Dieses prüft Apps auf Probleme mit der Sandbox-Konfiguration und verweigert diesen dann den Zugang zum Mac App Store verweigert. Dies bestätigte Apple gegenüber iMore, teilt gleichzeitig aber auch noch mit, dass zusätzliche Fixes bereits in Arbeit sind und man mit den Sicherheitsforschern zusammenarbeitet, um die Fehler in den Griff zu bekommen.

Auch stellte sich heraus, dass XARA, ein Zusammenschluss mehrerer Exploits, unter iOS wohl wesentlich weniger kann als ursprünglich angenommen. Das ändert aber nichts an der Tatsache, dass OS X voll davon betroffen ist. Oftmals sind es allerdings auch schlecht entwickelte Apps, die solche Attacken überhaupt erst ermöglichen. Ebenfalls soll es nicht so sein, dass Apple die letzten sechs Monate einfach nur zugesehen hat. iMore geht davon aus, dass Lücken innerhalb der sechs Monate bereits geschlossen wurden und von den XARA-Veröffentlichern dann wieder umgangen wurden – ohne Apple einen neuen Zeitrahmen zu geben.

Wie auch immer die Wahrheit hinter XARA aussieht, ob Apple nun geschlafen hat oder die Sicherheitsforscher einfach neue Lücken gesucht haben, es wird eine Lösung für das Problem geben. Bis dahin kann man – eigentlich wie immer – jedem nur raten, sich keine Apps aus unbekannten Quellen zu installieren. Der Mac App Store dürfte mittlerweile wieder eine sichere Anlaufstelle sein, da das Sicherheitsupdate Apps nun erkennen sollten, die die XARA-Lücke ausnutzen.

iMore hat zudem eine Art FAQ zu XARA zusammengestellt. Kurzfassung: eigentlich alles gar nicht so wild, wenn man aufpasst. Ebenso ist es aber auch schwer, die Lücken dauerhaft zu schließen, ohne auf Nutzungskomfort zu verzichten. Die Langfassung findet Ihr hier.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

6 Kommentare

  1. Mehr als ein halbes Jahr nach der Warnung, aber jetzt plötzlich ganz hektisch. Apple reagiert halt immer erst auf öffentlichen Druck, das Image ist ihnen am wichtigsten.

  2. plantoschka says:

    iMore leistet da richtig gute Aufklärungsarbeit. Super das ihr da hin linkt.
    Anstatt Paranoia und boah ist Apple scheiße Posts, gibt es auch noch Leute die sich wirklich mit den Hintergründen und Details beschäftigen.

  3. GongGonzo says:

    Warum kann nicht einfach nur die App auf den Eintrag zu greifen, den sie auch erstellt hat?

  4. @GongGonzo: Einige Herstellen möchten, dass andere Apps des selben Herstellers die gleichen Anmeldedaten nutzen können. Z.B. einmal bei GMail anmelden und auch in den anderen Google Apps angemeldet sein.

  5. Danke Apple 😀

  6. @Tobi: Dann sagt man einfach jeder Eintrag bekommt einen Schlüssel für den Entwickler, hier darf dann zugriffen werden. Für das andere kann man dann noch immer als Option Daten kopieren anbieten, da muss der Nutzer aber selbständig handeln.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.