Xara: Sicherheitslücken in iOS und Mac OS ermöglichen Diebstahl von Passworten
Ein Forscherteam von Universitäten in den USA und China hat mehrere Fehler in Apples Keychain und dem Prüfverfahren für den App Store gefunden. Eine manipulierte App ermöglichte ihnen den Zugriff auf Passwörter und Token für iCloud und Facebook. Apple sind die jetzt unter der Bezeichnung Xara veröffentlichten Schwachstellen seit Oktober 2014 bekannt.
Forscher der Indiana University, der Peking University und des Georgia Institute of Technology haben gemeinsam mehrere Sicherheitslücken in Mac OS X und iOS entdeckt. Die Xara genannten Schwachstellen erlaubten es ihnen, Apples Passwort-Manager Keychain zu kompromittieren sowie das Genehmigungsverfahren für Apples App Store zu umgehen.
Neben Keychain sind den Forschern zufolge zahlreiche andere Apps von den Xara-Schwachstellen betroffen, die einen “unautorisierten, App übergreifenden Zugriff auf Ressourcen” erlauben. 88,6 Prozent von 1612 OS-X-Anwendungen und 200 iOS-Apps stufen die Forscher als “vollständig angreifbar” ein.
Apple wurde bereits im Oktober 2014 über die Sicherheitslücken informiert. Wie The Register berichtet, akzeptierten die Forscher Apples Bitte, Details zu den Anfälligkeiten sechs Monate zurückzuhalten. Seitdem habe sich Apple nicht mehr bei den Forschern gemeldet. Da der vereinbarte Zeitraum aber längst abgelaufen ist, haben sie sich nun entschieden, die Öffentlichkeit zu informieren.
“Kürzlich haben wir einige überraschende Anfälligkeiten in Apples Mac OS und iOS gefunden, die es gefährlichen Apps erlauben, unautorisiert auf sensible Daten anderer Apps wie Passwörter und Tokens für iCloud, Mail-App und alle in Chrome gespeicherten Passwörter zuzugreifen”, sagte Luyi Xing von der Indiana University im Gespräch mit The Register. “Unsere manipulierten Apps durchliefen erfolgreich Apples Prüfverfahren und wurden im Map App Store und iOS App Store veröffentlicht.”
Eine dieser Apps konnte vorhandene Einträge in Keychain löschen sowie neue Einträge im Namen einer legitimen App anlegen. Der Apple-Schlüsselbund ist den Forschern zufolge nicht in der Lage zu prüfen, ob eine App tatsächlich berechtigt ist, Einträge zu bearbeiten. Anschließend hatte die gefährliche App Zugriff auf alle Einträge der legitimen App.
Google hat laut The Register inzwischen die Keychain-Integration mit dem Hinweis aus Chrome entfernt, dass Problem sei auf Anwendungsebene wahrscheinlich nicht zu lösen. Jeffrey Goldberg, CEO von Agile Bits und Herausgeber von 1Password, nimmt an, man habe bisher keine Möglichkeit gefunden, diese Art von Angriff abzuwehren.
Ein weiterer Bug steckt in dem von iOS verwendeten URL-Schema. Eine der präparierten Apps der Forscher übernahm auf einem iOS-Gerät das für die Facebook-Anmeldung verwendete Schema “fbauth://”. Anschließend konnte sie den Authentifizierungstoken des Facebook-Nutzers abfangen.
[mit Material von ZDNet.de]