iLeakage: Safari unzureichend vor Spectre-Seitenkanalangriff geschützt

IT-Sicherheitsforscher haben herausgefunden, dass Apples Webbrowser Safari nicht ausreichend vor Seitenkanalangriffen auf Prozessoren schützt. Angreifer können daher mit manipulierten Webseiten sensible Daten erbeuten. Es gibt erste Schutzmaßnahmen.

Die IT-Forscher kommen von der Ruhr-Universität Bochum, der Georgia Tech und der University of Michigan. Sie zeigen jetzt mit der iLeakage genannten Schwachstelle, dass Apples Gegenmaßnahmen in macOS und iOS nicht ausreichend vor dem Missbrauch etwa der Prozessor-Hardware-Schwachstelle "Spectre" schützen. Diese ermöglichen Seitenkanalangriffe, um dadurch an eigentlich geschützte Daten anderer Prozesse zu gelangen. Eine Analyse von c't-Redakteur Andreas Stiller erläutert das Grundproblem von Spectre und dem ähnlichen Meltdown anschaulich. Für Spectre- und Meltdown-artige Seitenkanalangriffe sind auch zahlreiche ARM-Prozessoren verwundbar – damit auch Apple Silicon.

Apple-Schwachstelle "iLeakage" mit eigener Webseite

Die Forschenden haben eine eigene Webseite zu der Sicherheitslücke aufgesetzt, ileakage.com. Dort stehen unter anderem Videos bereit, die den Missbrauch der Schwachstelle demonstrieren: Manipulierte Webseiten können demnach Zugangsdaten und Inhalte von Webseiten ausspähen. Die konkreten Beispiele zeigen, wie die präparierte Webseite im gleichen Prozess wie die angegriffene Seite läuft. Das sollte normalerweise nicht passieren, da jede Webseite in einem eigenen Prozess läuft und die Prozess-Isolierung den jeweiligen Arbeitsspeicher abschottet. In Safari konnten die IT-Forscher jedoch die Javascript-Funktion window.open() zum Öffnen der anzugreifenden Webseite nutzen, wodurch der Browser dafür denselben Render-Prozess nutzt.

Die bösartige Seite liest dann durch Ausnutzen des CPU-Seitenkanals im Hintergrund Log-in-Daten zu Instagram aus dem Log-in-Fenster aus, die etwa von einem Passwort-Manager automatisch eingetragen wurden. Ein weiter Clip zeigt, wie sie Betreffzeilen aus Gmail ergattert. Oder sie kann unter iOS mit dem Chrome-Webbrowser auf den YouTube-Videoverlauf zugreifen, da Chrome im Mobil-Betriebssystem lediglich ein Aufsatz auf Safaris Browser-Engine ist.

Allgemeiner formuliert, können bösartige Webseiten mit Javascript und Webassembly unter macOS, iOS und iPadOS aus Safari und darauf aufsetzenden Webbrowsern Inhalte aus Webseiten auslesen – etwa Passwörter, persönliche Informationen oder auch Kreditkarteninformationen. Die IT-Forscher der Ruhr-Universität Bochum erklären dazu: "Mittlerweile bietet Apple erste Software-Updates für Safari an, die zum Ziel haben, die Schwachstelle zu beheben. Weitere Updates sind in Arbeit".

Auf der iLeakage-Seite erläutern die IT-Forscher, wie sich Apple-Nutzer schützen können – dank Safari 17.1, das am Dienstag für macOS 12 (Big Sur) und macOS 13 (Ventura) erschienen ist, wird dies noch leichter möglich, als dort zunächst erläutert. Unter macOS 14(.1) (Sonoma) sowie 12 und 13 mit Safari 17.1 aktiviert man im Terminal zunächst mit dem Befehl defaults write com.apple.Safari IncludeInternalDebugMenu 1 das Debugmenü des Browsers. Das dadurch verfügbare Debug-Menü liefert dann unter WebKit Internal Features den Punkt Swap Processes on Cross-Site Window Open, den Betroffene anhaken müssen. Das aktiviert den Schutzmechanismus vor dem gezeigten Angriff.

Der Angriff missbraucht Unzulänglichkeiten in Safaris Javascript-Engine. Daher sind andere Webbrowser unter macOS für iLeakage nicht anfällig. Unter iOS und iPadOS können Webbrowser nach wie vor keine eigenen Engines mitbringen, sondern müssen auf Safari aufsetzen. Daher sind diese Browser unter mobilen Apple-Betriebssystemen ebenfalls verwundbar.

Detailliertere Einblicke liefert die Forschungsarbeit "iLeakage: Browser-based Timerless Specualtive Execution Attacks on Apple Devices", die die IT-Forscher auf der Conference on Computer and Communications Security (CCS) 2023 Ende November in Kopenhagen vorstellen wollen.

(dmk)