Eine massive Sicherheitslücke soll es fast allen App-Entwicklern ermöglichen, Passwörter und weitere Daten auf den Apple Betriebssystemen iOS und OS X auszulesen. Der Konzern aus Cupertino weis bereits mehrere Monate Bescheid, getan hat sich jedoch nichts.
Bereits vergangenen Oktober informieren die sechs Sicherheitsforscher der India Universität aus Peking Apple über die schwere Sicherheitslücke. Der Konzern bat die Forscher sechs Monate um Geduld, damit man diese Sicherheitslücke überprüfen und gegebenenfalls schließen könne. Da sich bislang nichts getan hat, veröffentlichten die Forscher nun das große Problem. Die Sicherheitslücke, welche auf der Technologie Cross-App Resource Access Attack (kurz XARA) basiert, gibt dem Entwickler Einblick auf Passwörter. Diese können direkt aus Apps ausgelesen werden. Jedoch können die Passwörter auch aus den Apps von Apple herausgefiltert werden.
Damit dies möglich ist, schleusten die Forscher eine infizierte App durch die App-Prüfung von Apple. Da diese mit ihren Richtlinien normalerweise sehr streng ist und auch auf Sicherheit achtet, ist es verwunderlich, warum die App genehmigt wurde. Einmal genehmigt und auf einem Device installiert, kann der Entwickler durch die App Zugriff auf Passwörter des Nutzers bekommen. Betroffen sei hauptsächlich das Betriebssystem OS X, aber auch iOS ist davon betroffen. Und bislang gibt es kein Update, welches die Malware unschädlich machen kann.
Die Malware beziehungsweise die App funktioniert so: sie löscht zunächst den Keychain Abschnitt einer entsprechenden App und legt diesen neu an. Mit der Ausnahme, dass sich die Malware eine Leseerlaubnis einholt. Bei der App Keychain handelt es sich um die interne Passwortverwaltung in OS X und iOS. Sobald der Nutzer mit der App das Kennwort erneut abspeichert, beispielsweise für den Zugang in der Facebook-App, speichert die App die Zugangsdaten an die infizierte Stelle. Die Malware-App hat jetzt die Möglichkeit, das Passwort -hier unser Facebook Kennwort- auszulesen. Da sich die Malware Zugang zu der Apple Keychain-App ergattert, kann sogar der iCloud Token abgegriffen werden. Dieser ermöglicht dem Hacker den Zugang zu dem iCloud Konto.
Die Forscher untersuchten die Sicherheitslücke anhand von rund 1.800 Apps. 89 Prozent dieser gab Einblick auf das gespeicherte Kennwort oder je nach App sogar Einblick auf weiteren Daten. Die bekannten Applikationen 1Password oder Evernote sind ebenfalls von dem Hack betroffen und können ausspioniert werden.
Bislang bezog Apple keine Stellung zu der gravierenden Sicherheitslücke. Fakt ist, dass man sich aktuell nicht auf den Prüfmechanismus von dem Konzern verlassen kann. Apps aus den AppStores können ebenso betroffen sein, wie Apps, welche man im Internet herunterlädt. Bleibt zu hoffen, dass es bald ein Update geben wird, welches die Sicherheitslücken beseitigen wird.
Quelle Titelbild: 360b / Shutterstock.com