28C3: SicherheitslĂĽcken in Apples iOS und Googles Chrome OS
Experten der Security-Firma Recurity Labs haben gravierende Schwachstellen in den Schutzpanzern des iPads und des Chromebooks sowie den damit verknüpften App-Marktplätzen und Cloud-Anwendungen entdeckt.
Experten der Security-Firma Recurity Labs haben gravierende Schwachstellen in den Schutzpanzern von iPads, iPhones und Chromebooks sowie den damit verknüpften App-Marktplätzen und Cloud-Anwendungen entdeckt. Das Konzept von Apples AppStore etwa sei sehr riskant, erklärte der Unternehmenschef Felix "FX" Lindner am Mittwoch auf dem 28. Chaos Communication Congress (28C3) in Berlin. So könnten dessen Funktionalitäten durch einige hochwertige Programmierfehler unfreiwillig erweitert werden, konstatierte der Sicherheitstester. Mit Google-Betriebssystemen laufende Chromebooks wiederum könnten mit Hintertüren versehen werden. Insbesondere Erweiterungen für Chrome OS stellten Einfallstore für Schadcode dar.
Apple sei bei seinen i-Geräten zwar sehr auf die Kontrolle von Anwendungen Dritter bedacht, der Schutz der Nutzerdaten gehöre dagegen nicht zum Geschäftsmodell, monierte FX. Die Sicherheitsarchitektur des iPads enthalte so zwar einige interessante Ansätze, ergänzte Lindners Mitstreiter "Greg". Würden es die Kalifornier mit dem Datenschutz auf ihrem Prestigeobjekt jedoch ernst meinen, "würden sie es Nutzern erlauben, eigene Verschlüsselungssysteme dafür zu schreiben". Das Verfahren zum Signaturabgleich auf Apples Tablet-Rechner bezeichnete Greg als "Versager". Viele Meta-Informationen würden nicht signiert, was zum Jailbreaking genutzt werde.
"Bruhns", ein weiterer Recurity-Labs-Vertreter, bezeichnete bei Apples AppStore eine spezielle JavaScript-Bibliothek als Wurzel allen Übels, da sie sämtliche Sicherheitsvorgaben missachte. Sie begünstige "Man in the Middle"-Attacken, mit der Schadsoftware über die Plattform installierbar sei und Nutzer gar für ausgelieferte Trojaner bezahlen müssten. Transaktionen der Webapplikation seien ungenügend abgesichert, was seitenübergreifende Manipulationen ("Cross-Site Request Forgery") erlaube. Den etwa für den Aufbau eines gefälschten Login-Bildschirms in den Store nötigen Sicherheitstoken liefere bereitwillig die iTunes-Bibliothek. So könnten sensible Nutzerdaten abgezogen und dem Client Malware untergeschoben werden.
Selbst die einfachsten Sicherheitsvorkehrungen funktionieren im AppStore Bruhns zufolge nicht richtig. So könnten mithilfe von Cookies Kontoinformationen abgegriffen oder "Cross Site Scripting"-Angriffe über Suchfelder ausgeführt werden. Eine direkte Ausführung von Schadcode werde zwar verhindert, eine Dateneingabe über ein eingebettetes Frame sei bis vor Kurzem aber möglich gewesen.
Chrome OS an sich bescheinigte FX in dem "Duell der Giganten" eine recht solide Sicherheitsarchitektur mit doppelt angelegter Firmware, Kernel und Datensystemen. Schier alle Prozesse würden auf Integrität hin überprüft. Es gebe aber ein paar Unvollkommenheiten und Knackstellen in der Vertrauenskette. So könne etwa über eine Firmware-Schnittstelle Code geladen und eine unvorhergesehene Schreibberechtigung erteilt werden.
Der Google Web Store und Applikationen fürs Chromebook wie die Online-Bürosoftware des Suchmaschinenriesen und Gmail böten zahlreiche Angriffspunkte, fügte Bruhns an. Für den App-Marktplatz könnten dank zusätzlicher Programmierschnittstellen innerhalb weniger Stunden Trojaner fürs Online-Banking geschrieben werden. So sei Chrome dazu zu bringen, über eine spezielle Webadresse schädliche Erweiterungen herunterzuladen. Google Sync sorge ferner dafür, dass ein unter fremde Kontrolle geratenes Nutzerkonto auch für einen fremdbestimmten Browser stehe.
Googles Webanwendungen bauten komplett auf Sitzungscookies auf, erklärte Bruhns. Sollten diese einmal abhanden kommen oder geändert werden, seien alle damit verknüpften Daten verloren. Da viele Applikationen von unterschiedlichen Autoren stammten, seien sie "inkonsistent" und stellten einen "Verifizierungsalbtraum" dar. Es sei möglich, Makros in Google Docs hochzuladen, die serverseitig ausgeführt würden. Für derartige Funktionen habe sich ein regelrechter Marktplatz gebildet, auf dem ein Validitätsprüfer für Kreditkartennummern eines russischen Programmierers besonders populär sei. Weiter könnten Webanforderungen an Google-Server gestellt werden, was "großen Spaß" mit Denial-of-Service-Attacken bereite. Schließlich seien nur Datenleitungen des Internetkonzerns groß genug, um Google selbst anzugreifen. Das Stehlen von Browsersitzungen sei nicht zuletzt genauso einfach wie das Unterwandern von Datenübertragungen in die Cloud durch URL-Umleitungen.
FX warnte daher davor, in Cafés oder anderen öffentlichen Einrichtungen über WLAN Google-Konten zu nutzen. Verbesserte Authentifikationsverfahren beim Login brächten wenig, da der Trend bei Cybergangstern dazu gehe, Sitzungscookies für Web-Apps zu klauen. Dies geschehe nach dem Einloggen in einen Account. Als Tipp zum Selbstschutz hatte der Experte für die Hacker parat, zumindest eigene Mail-Server zu betreiben und Cloud-Dienste mit äußerster Vorsicht zu genießen. (js)