XARA-Angriff: Kennwort-Manager 1Password bestätigt Schwachstelle
Sicherheitsforscher haben gezeigt, wie Schadprogramme anderen Mac-Apps Daten entlocken können – auch die populäre Passwort-Verwaltung ist anfällig. Es gibt derzeit keine Lösung, erklären die Entwickler, man könne sich aber wappnen.
Die Passwortverwaltung ist auf mehreren Plattformen vertreten
(Bild: Entwickler)
- Leo Becker
Schad-Software ist "unter bestimmten Umständen" in der Lage, Informationen auszulesen, die die Browser-Erweiterung der Kennwort-Verwaltung 1Password an die zugehörige Helfer-App auf dem Mac übermittelt. Dies hat das Entwickler-Team AgileBits bekanntgegeben und damit die Studienergebnisse von sechs Sicherheitsforschern bestätigt, die Details zu diesem Angriffsszenario veröffentlicht hatten.
Die Gefahr ist, dass sich eine bösartige App als der Helfer "1Password mini" ausgeben kann und dadurch in der Lage ist, die von der Browser-Erweiterung übermittelten Login-Daten auszulesen – "wenn das Timing stimmt". AgileBits betont, dadurch sei aber kein "voller Zugriff" auf die in der Passwort-Verwaltung hinterlegte Daten möglich. Die Forscher waren nach eigener Angabe in der Lage, eine manipulierte App von Apples Prüfprozess unbemerkt im Mac App Store zu veröffentlichen.
Das Problem beruht darauf, dass eine "vollständige Authentifizierung" der Kommunikation zwischen der Browser-Extension von 1Password und der Helfer-App 1Password mini derzeit nicht möglich sei – dies betreffe auch andere Software und sei eine systemweite Schwachstelle von Mac OS X, schreibt AgileBits. Man habe zusammen mit den Sicherheitsforschern versucht, dieses Problem für 1Password zu lösen, habe aber noch keinen "komplett zuverlässigen Weg" gefunden.
Schutzmaßnahmen
AgileBits empfiehlt Nutzern der Mac-Version von 1Password, den Helfer 1Password mini unbedingt dauerhaft laufen zu lassen, um die Möglichkeit für einen derartigen Angriff zu verringern – diese Option lässt sich in den Einstellungen aktivieren. Darüber hinaus gilt der generelle Rat, nur Apps aus vertrauenswürdiger Quelle zu installieren. Da sich bösartige Software aber offenbar in den Mac App Store einstellen lässt, hoffen die Entwickler darauf, dass Apple den Prüfprozess anpasst.
Unklare Lage bei iOS-App
Die iPhone- und iPad-Version von 1Password stellt Login-Daten über eine Extension für andere Apps zur Verfügung, diese Informationen seien aber verschlüsselt und damit für einen Angreifer weitestgehend nutzlos, erklären die Entwickler – außer dieser verfüge über das TouchID-Secret. Man habe aber noch nicht testen können, ob es tatsächlich einen Angriffspunkt in iOS gibt, ein Nachtrag soll Nutzer zu einem späteren Zeitpunkt informieren.
Die Sicherheitsforscher hatten verschiedene Schwachpunkte in der Kommunikation zwischen Apps – "Cross-App Resource Access Attacks" oder kurz XARA – aufgezeigt, vorwiegend in Hinblick auf Mac OS X bis hin zur aktuellen Version 10.10.3 und der Beta von 10.10.4.
Auch ein mögliches Problem in iOS bei der Verwendung von URL-Schemes wird in der Studie ausgeführt. Mit iOS 9 rät Apple davon ab, weiterhin auf URL-Schemes zu setzen: App-Entwickler sollten die URL-Schemata aus Sicherheitsgründen durch "Universal Links" ersetzt werden. Diese könne jeweils nur ein Entwickler für sich beanspruchen, indem sie durch Einbindung einer signierten JSON-Datei auf der Webseite des Anbieters bestätigt werden.
[Update 23.6.2015 18:15 Uhr] In der Meldung wurde ein Satz präzisiert, um zu verdeutlichen, dass die Schwachstelle laut AgileBits keinen Zugriff auf die 1Password-Datenbank ermöglicht, sondern nur die Kommunikation zwischen Browser-Erweiterung und Helfer-App 1Password mini betrifft. (lbe)
