IT-Sicherheitsforschern ist es mit ihrem Verfahren gelungen, von Apple entwickelte App-Sicherheitsvorkehrungen in iOS und OSX umgehen.
Die Beriebssysteme von Apple genießen eine guten Ruf in Sachen Sicherheit und Datenschutz. Jede App auf Apples Betriebssystemen wird in einer gewissen Isolation ausgeführt um sie vor unerlaubten Zugriffen abzusichern. Ein unerlaubter Zugriff auf Dateien zwischen den Apps wird so wirkungsvoll verhindert.
Mit einem im Oktober 2014 entdeckten Verfahren konnten IT-Sicherheitsforscher von Universitäten in Indiana, Georgia und Peking die Sicherheitsvorrichtung teilweise umgehen.
Die Sicherheitskette einer Anwendung ist nur so stark, wie ihr schwächstes Glied. Foto: fotomek, Fotolia.com
Apple wurde angeblich von dieser Lücke unterrichtet. Da Apple, gemäß der Forscher, jedoch nicht ausreichend schnell reagiert hat und alle Anwender einem unkontrollierten Risiko ausgesetzt sind, wurde die Lücke nun veröffentlicht.
Durch die sogenannte Cross-App-Resource-Access-Attacke (XARA) erhalten Angreifer eine Möglichkeit, um Zugriff auf sensible App-Daten zu erlangen. Die Forscher sichteten in Summe bei ihrer Arbeit 1612 Mac Apps und 200 iPhone Apps. Insgesamt waren über 85 Prozent dieser Apps komplett anfällig für die Cross-App-Resource-Access-Attacke. Sogar Daten aus beliebten Apps wie Evernote oder 1Password konnten angeblich mit dieser Art des Angriffs ausgelesen werden.
Die XARA-Schwachstelle einfach erklärt
Einträge im Schlüsselbund des Betriebssystems unterliegen einer ACL (Access Control List). Diese Liste regelt die App-Erlaubnis für den Zugriff auf die jeweiligen Schlüsselbund-Einträge. Das entspricht quasi einer Liste geladener Gäste mit fester Tischzuweisung. Nur geladene Gäste dürfen der geschlossenen Gesellschaft beiwohnen und dabei nur an ihrem Stuhl und Tisch Platz nehmen.
Apple iOS 9 - Screenshots der neuen Funktionen
Apple iOS 9 - Das neue mobile Betriebssystem iOS 9 wartet wieder mit einer Vielzahl von neuen Funktionen auf.
Apple iOS 9 - Das neue mobile Betriebssystem Mit iOS 9 erhalten die Karten von Apple ein Update. Als Neuerung wartet die Karten-App nun mit einer Navigation über den öffentlichen Personennahverkehr ÖPNV auf.
Apple iOS 9 - Das neue mobile Betriebssystem Der Dienst geht zuerst in den Städten San Francisco, New York, Toronto, Philadelphia, Washington, Baltimore, Chicago, Mexico City, London und Berlin an den Start.
Apple iOS 9 - Das neue mobile Betriebssystem Die App Notizen erhält in iOS 9 eine Toolbar für Checklisten und einfaches Einfügen von Bildern.
Apple iOS 9 - Das neue mobile Betriebssystem Außerdem lässt sich mit dem Finger darin zeichnen. Eine bessere Übersicht gibt es über alle Notizen in der App ebenfalls.
Apple iOS 9 - Das neue mobile Betriebssystem Mit Slide Over lässt sich durch einen Wisch von der Seite schnell eine weitere App im rechten Bereich einblenden (überdeckt die bisherige App zirka ein Drittel).
Apple iOS 9 - Das neue mobile Betriebssystem Jetzt lässt sich die eingeblendete App normal bedienen.
Apple iOS 9 - Das neue mobile Betriebssystem Auf dem iPad Air 2 gibt es neben Slide Over zusätzlich die Funktion Split View. Hier wird der Bildschirm nun in zwei Apps aufgeteilt – beide laufen dann aktiv auf dem iPad.
Apple iOS 9 - Das neue mobile Betriebssystem Neu ist auch der dritte Multitasking-Modi Picture in Picture. Wenn ein Video läuft und eine Nachricht eingeblendet wird, so lässt sich diese öffnen und das Video läuft in einem eingeblendeten kleinen Bereich weiter.
Apple iOS 9 - Das neue mobile Betriebssystem Eine Verbesserung in der Bedienung betrifft die QuickType-Tastatur auf dem iPad. Neben Wortvorschlägen wie bei iOS 8 gibt es nun zusätzlich Shortcuts für beispielsweise Kopieren, Einfügen und Anhänge.
Apple iOS 9 - Das neue mobile Betriebssystem Vereinfacht hat Apple auch das Verfahren, wenn beim Schreiben der Cursor an eine bestimmte Stelle im Text platziert werden soll oder man Textblöcke markieren will. Hierzu tippt man mit zwei Finger auf die Tastatur, dann verwandelt sich das virtuelle Keyboard in ein TrackPad.
Apple iOS 9 - Das neue mobile Betriebssystem Über die neue Funktion Proactive Assistant bringt Apple in iOS 9 mehr Intelligenz in die Spotlight-Suche und Siri. Außerdem soll Proactive anstehende Ereignisse schlauer vorhersagen und dem Anwender passende Infos basierend auf seinem Nutzungsverhalten bieten. Eine ähnliche Funktion bietet Google bei Android mit Google Now.
Apple iOS 9 - Das neue mobile Betriebssystem Nach wie vor können mit Proactive beispielsweise Apps oder Musiktitel gesucht werden, allerdings zieht Proactive nun auch externe Ergebnisse wie News-Websites stärker in die Suche mit ein.
Apple iOS 9 - Das neue mobile Betriebssystem Proactive sucht auf dem iPhone oder iPad automatisch nach Informationen, bevor der Anwender diese benötigt. Hierfür durchsucht Proactive Kalendereinträge, Kontakte, Karten und weitere Apps.
Apple iOS 9 - Das neue mobile Betriebssystem Außerdem analysiert Proactive das typische Nutzungsverhalten. Öffnet ein Anwender beispielsweise morgens nach dem Wecker immer Twitter, so blendet iOS 9 gleich die App im Sperrbildschirm ein. Oder jemand telefoniert um 19:00 Uhr immer mit der gleichen Person, dann zeigt Proactive gleich einen Anrufhinweis für diesen Kontakt an.
Apple iOS 9 - Das neue mobile Betriebssystem Proactive sucht bei einem Anruf mit einer in den Kontakten unbekannten Nummer beispielsweise in den E-Mails, ob dazu ein passender Kontakt ist. Wird Proactiv während des Klingelns fündig, so wird das Ergebnis eingeblendet.
Apple iOS 9 - Das neue mobile Betriebssystem In iOS 9 gibt es statt des vierstelligen Sperrcodes nun bei iPhones und iPad mit TouchID einen sechsstelligen Code. Wird auf einem neuem Gerät die Apple-ID verwendet, so wird auf den bekannten Geräten wie dem eigenen iPhone eine Meldung mit Verifikations-Code eingeblendet.
Apple iOS 9 - Das neue mobile Betriebssystem Die neue App News bietet vordefinierte Newsquellen an, aus denen man auswählen kann. Von den selektierten Quellen wird dann automatisch eine optisch aufbereitete Zusammenstellung erstellt. News lässt sich als in iOS integrierte Alternative zu Flipboard sehen.
Apple iOS 9 - Das neue mobile Betriebssystem Die App Passbook benennt Apple in iOS 9 auf den passenderen Namen Wallet um.
Apple iOS 9 - Das neue mobile Betriebssystem Das neue Betriebssystem iOS 9 setzt laut Apple mindestens ein iPhone 4S, iPad 2 oder das erste iPad mini voraus. Ab dem iPod touch der 5. Generation funktioniert iOS 9 ebenfalls.
Ein Angriff mit der XARA-Methode kann zwar keine Schlüsselbund-Einträge auslesen, diese jedoch löschen beziehungsweise eigene erstellen. Dies ermöglicht das Erstellen einesWhitelist-Eintrag für die Angreifer-App als auch die anzugreifende App. Ein solcher Whitelist-Eintrag hat zur Folge, dass die anzugreifende App ihre Schlüsselbund-Einträge quasi auf die Angreifer-App umgeleitet bekommt. Da dort initial noch keine Schlüsselbund-Einträge vorhanden sind, wird der Anwender von seiner gewohnten App aufgefordert zum Beispiel seine Login Daten erneut einzugeben. Die nun eingegebenen Daten werden für die Angreifer-App zugreifbar abgelegt und können danach unkontrolliert abfließen.
Es bleibt zu hoffen das Apple diese bedrohlich klaffende Lücke schnell behebt. Allerdings muss auch vermerkt werden, dass nur neu erfasste Daten abfließen können. (bw)