Zeroday-Lücken in iOS und OS X: Bösartige Apps können offenbar Passwörter auslesen

Bösartigen Apps ist es laut einer Studie von sechs Sicherheitsforschern möglich, sensitive Daten anderer Programme einzusehen, im systemeigenen Schlüsselbund gespeicherte Passwörter auszulesen und iCloud-Zugangs-Token abzugreifen. Die Schwachstellen bestehen überwiegend in Mac OS X, eine aber auch in iOS. Man habe erfolgreich manipulierte Apps in den iOS-App-Store wie Mac-App-Store einschleusen können, betonen die Forscher – nach der Freigabe durch Apple habe man sie aber sicherheitshalber wieder zurückgezogen.

XARA-Angriff auf Passwörter

Der Angriffspunkt liegt der Studie zufolge in verschiedenen Systemdiensten, die Apps zur Kommunikation untereinander nutzen können. Die “Cross-App Resource Access Attacks” oder kurz “XARA” genannten Angriffstechniken würden auch trotz der Abschottung von Apps durch Sandboxing funktionieren.

Eine Sicherheitslücke in Apples Schlüsselbund in Mac OS X, der systemweit unter anderem Benutzerdaten und Passwörter verwaltet, erlaubt einer App beispielsweise, die von einer anderen App gespeicherten Daten abzufragen, erklären die Forscher – sie hätten auf diese Weise erfolgreich Zugangsdaten ausgelesen, die die Systemeinstellung "Internetaccounts" verwaltet, darunter das iCloud-Token zum Zugriff auf Apples Cloud-Dienste, auch andere dort hinterlegte Daten für E-Mail-Konten oder soziale Netzwerke seien anfällig. Dieser Angriff funktioniere jedoch nicht in iOS.

Die Lücke wurde Apple im Oktober 2014 mitgeteilt, schreiben die Sicherheitsforscher. Der Konzern habe sich ein halbes Jahr für einen Fix erbeten und in OS X 10.10.3 sowie der Beta von 10.10.4 erste Schutzmaßnahmen integriert, diese lassen sich aber offenbar umgehen.

Neben dem Schlüsselbundangriff sind manipulierte Apps unter OS X angeblich auch fähig, die Sandbox anderer Programme zu knacken und sensitive Daten auszulesen – so sei es beispielsweise möglich, Kontaktdaten und Notizen aus Evernote zu entwenden. Durch Schwachpunkte in WebSockets waren die Forscher nach eigener Angabe in der Lage, Kennwörter aus der Passwortverwaltung 1Password auszulesen – als Angrifsspunkt diente hier die Browser-Erweiterung des Programms für Safari, Chrome und Firefox. Die darüber informierten 1Password-Entwickler hätten die Schwere des Problems anerkannt, merken die Forscher an. Die Chromium-Entwickler sollen nach Informationen der britischen Nachrichtenseite The Register die Schlüsselbund-Einbindung ihrer App entfernt haben, da das Problem nur auf Betriebssystem-Ebene zu beheben sei.

URL-Schemes als Angrifsspunkt unter iOS

Durch das "Entführen" von URL-Schemata soll es neben OS X auch unter iOS möglich sein, mit einer in den App Store eingeschleusten App, Passwörter oder Anmelde-Token bei der Kommunikation zwischen anderen Apps einzusehen – darunter beim Login mit dem eigenen Facebook-Account in einer Dritt-App wie Pinterest.

Apps können dem System gegenüber bestimmte URL-Schemes definieren, über die sie durch andere Apps ansprechbar sind. Dabei kann jede App (nahezu) beliebige URL-Schemes für sich in Anspruch nehmen. Benutzen mehrere Apps dasselbe Schema, leite iOS stets an die letzte App weiter, die dieses für sich registriert hat, erklären die Forscher. Dadurch könne selbst eine später installierte Malware das URL-Scheme der Ziel-App im Nachhinein "entführen".

Eine im Rahmen der Studie durchgeführte Prüfung von über 1600 Mac-Apps und iOS-Apps – beide jeweils aus Apples Store – habe gezeigt, dass insgesamt mehr als 88 Prozent für mindestens eine dieser Schwachstellen anfällig sind. Ein Teil der Lücken könne nur auf Systemebene durch Apple behoben werden, merken die Autoren an – App-Entwickler müssten aber besser prüfen, mit welchen anderen Apps sie interagieren. Die Konsequenzen derartiger Angriffe seien schließlich "verheerend", da besonders schützenswerte Nutzerdaten wie Passwörter "komplett an eine bösartige App weitergegeben werden". Auch Apples Einlasskontrolle für Software im App Store sowie Mac App Store biete diesbezüglich keinen Schutz. (lbe)