18.06.2015, 09:44 Uhr

So einfach werden Apples Sicherheitsmechanismen umgangen

Nach Angaben mehrerer Universitätsforscher sind das Sandboxing-System und die Schlüsselbundverwaltung von Apple nicht sicher. So soll es möglich sein, private Daten, Fotos und Passwörter zu klauen.
0xc9ameq.jpg
Der Autor arbeitet für unsere Schwesterpublikation Com-Magazin.de, wo der Artikel ursprünglich veröffentlicht wurde. Forschern mehrerer Universitäten ist es gelungen, Sicherheitsmechanismen in Apple-Produkten zu umgehen. Sie entdeckten mehrere Lücken, über die sie von einer manipulierten App auf andere Anwendungen zugreifen konnten. Eigentlich sollte dies nicht möglich sein.
Nach ihren eigenen Aussagen informierten sie Apple über die Lücken. Der Hersteller, der im vergangenen Quartal 13,6 Milliarden Dollar Gewinn machte, forderte sie auf, mindestens sechs Monate zu warten, reagierte dann aber nicht mehr. Deswegen entschieden sie sich, ihre Erkenntnisse in einem Whitepaper (PDF) zu veröffentlichen. Den Forschern war es gelungen, eine Malware-App in den App Store von Apple einzuschleusen. Mithilfe dieser App war es dann möglich, Daten von anderen Anwendungen mittels «Cross-App Resource Access Attacks» (XARA) auszuspionieren. Unter anderem soll es möglich gewesen sein, Zugangsdaten zur iCloud, E-Mail und Banking-Anwendungen sowie das geheime Evernote-Token zu klauen. Normalerweise sollte dies durch die Apple-Schlüsselbundverwaltung verhindert werden.

Sandbox-System geknackt?

Die Forscher knackten nach eigenen Angaben auch das Sandbox-System von Apple, das jede Anwendung in einer abgeschlossenen Umgebung – der Sandbox – ausführt. Dadurch soll eigentlich verhindert werden, dass eine App auf Daten einer anderen App zugreift. So war ein Zugriff auf private Evernote-Notizen und WeChat-Fotos möglich. Die Forscher entwickelten ausserdem einen Scanner, der Lücken in Apps finden soll. Wie sie in ihrem Whitepaper schreiben, sollen viele weit verbreitete Apps nicht sicher sein. In mehreren Videos zeigen sie, wie die Sicherheitslücken funktionieren:






Das könnte Sie auch interessieren