Uniforscher
18.06.2015, 09:45 Uhr
Schwere Sicherheitslücken in iOS und OS X
Nach Angaben mehrerer Universitätsforscher sind das Sandboxing-System und die Schlüsselbundverwaltung von Apple nicht sicher. So soll es möglich sein, private Daten, Fotos und Passwörter zu klauen.
Forschern mehrerer Universitäten ist es gelungen, Sicherheitsmechanismen in Apple-Produkten zu umgehen. Sie entdeckten mehrere Lücken, über die sie von einer manipulierten App auf andere Anwendungen zugreifen konnten. Eigentlich sollte dies nicht möglich sein.
Sicherheitslücken in Apple-Produkten: Unter anderem haben die Forscher Lücken in der Schlüsselbundverwaltung gefunden.
Quelle: Whitepaper
Den Forschern war es gelungen, eine Malware-App in den App Store von Apple einzuschleusen. Mithilfe dieser App war es dann möglich, Daten von anderen Anwendungen mittels „Cross-App Resource Access Attacks“ (XARA) auszuspionieren. Unter anderem soll es möglich gewesen sein, Zugangsdaten zur iCloud, E-Mail und Banking-Anwendungen sowie das geheime Evernote-Token zu klauen. Normalerweise sollte dies durch die Apple-Schlüsselbundverwaltung verhindert werden.
Die Forscher knackten nach eigenen Angaben auch das Sandbox-System von Apple, das jede Anwendung in einer abgeschlossenen Umgebung – der Sandbox – ausführt. Dadurch soll eigentlich verhindert werden, dass eine App auf Daten einer anderen App zugreift. So war ein Zugriff auf private Evernote-Notizen und WeChat-Fotos möglich.
Die Forscher entwickelten außerdem einen Scanner, der Lücken in Apps finden soll. Wie sie in ihrem Whitepaper schreiben, sollen viele weit verbreitete Apps nicht sicher sein. In mehreren Videos zeigen sie, wie die Sicherheitslücken funktionieren.