Angreifer können iPhone-, iPad- und Mac-Nutzer dazu bringen, ungewollt Daten preiszugeben: Apples Implementierung der Web Share API erlaube es nämlich nicht nur, Web-Inhalte über Apps zu teilen, sondern unterstütze auch das URL-Schema file://, das es ermöglicht, eine lokal auf dem Computer liegenden Datei anzuhängen, warnt der Sicherheitsforscher Pawel Wylecial.
Anzeige
Auslesen von Safari-Verlauf möglich
Wer das nette Kätzchen aus dem Browser teilt, schickt auch noch eine lokale Datei mit – in diesem Fall /etc/passwd
Das ermöglicht es einer manipulierten Webseite, bestimmte lokale Daten zu extrahieren, wenn der Nutzer beispielsweise ein harmloses Katzenbild teilen will, wie zwei von Wylecial als Proof of Concept bereitgestellte Webseiten demonstrieren. In einem Fall wird beim Teilen des Fotos die Datei /etc/passwd angehängt, im zweiten Fall die gesamte Browser-Historie von Safari auf iPhone und iPad (file:///private/var/mobile/Library/Safari/History.db).
Das Ausnutzen der Lücke erfordert Nutzerinteraktion und sei deshalb "kein sehr ernstes Problem", schreibt der Sicherheitsforscher. Doch lässt sich die angehängte Datei leicht verstecken, sodass viele Nutzer sie wohl nicht bemerken würden, wenn sie das harmlose Bild beispielsweise per E-Mail weiterleiten – der Dateianhang erscheint erst nach Scrollen.
Andere iOS-Browser offenbar auch betroffen
Der Fehler liegt offenbar in Apples Browser-Engine WebKit, die zwangsweise alle Browser unter iOS und iPadOS als Basis nutzen müssen: Auf iPhone und iPad ist also nicht nur Apples Safari anfällig, sondern beispielsweise auch Google Chrome. Die Lücke ist in iOS bis hin zur aktuellen Version 13.6.1 vorhanden, mit der Beta von iOS 14 scheint sie sich aber nur noch eingeschränkt ausnutzen zu lassen.
Anzeige
Er habe die Schwachstelle schon im April an Apple gemeldet, dann aber lange nichts mehr gehört, außer einer kurzen Bestätigung, dass der Fehler analysiert werden, schreibt Wylecial. Der iPhone-Konzern habe ihn dann erst nach mehrfacher Nachfrage im August gebeten, die Details des Bugs noch nicht zu veröffentlichen – man wolle die Lücke im Frühjahr 2021 schließen. Dieser Zeitrahmen sei ihm nicht "akzeptabel" vorgekommen, so der Sicherheitsforscher, deshalb habe er sich zur Veröffentlichung entschieden.
5 Monate Wissensvorsprung sichern: heise+ 5 Monate für je 5 € testen. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen. Nur für kurze Zeit!5 Monate Wissensvorsprung sichern: heise+ 5 Monate zum exklusiven Vorteilspreis von je 5 € testen und brandaktuelles IT- und Tech-Wissen sichern. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen. Nur für kurze Zeit!
