ifun.de — Apple News seit 2001. 39 364 Artikel
   

iOS und Mac: Modifizierte App kann offenbar Kennwörter und persönliche Daten auslesen

Artikel auf Mastodon teilen.
29 Kommentare 29

Den Aussagen von sechs Sicherheitsforschern an der Indiana University zufolge finden sich in OS X und iOS schwere Sicherheitslücken im Zusammenhang mit der internen Kommunikation von Apps untereinander. Es sei gelungen, manipulierte Apps an Apples Eingangskontrolle für die App Stores vorbeizuschmuggeln und darüber sensible Daten aus anderen Apps auszulesen.

sicherheit-schloss-shutterstock

(Bild: Shutterstock)

Our research leads to the discovery of a series of high-impact security weaknesses, which enable a sandboxed malicious app, approved by the Apple Stores, to gain unauthorized access to other apps’ sensitive data.

Im Detail beschreiben die Sicherheitsforscher die Möglichkeit, mittels einer speziell präparierten App an die Zugangsdaten für iCloud oder E-Mail-Konten ebenso wie an vertrauliche Informationen in Drittanbieter-Apps zu gelangen. Hier werden kennwortgeschützte Dokumente aus Evernote oder Fotos aus WeChat als Beispiel genannt.

Die Entdecker der Sicherheitslücke haben eine umfassende Dokumentation diesbezüglich offen gelegt. Dieses Vorgehen soll offenbar den Druck auf Apple erhöhen. Angeblich wurde Apple bereits vor längerer auf die Probleme hingewiesen und die Sicherheitsforscher haben wie in solchen Fällen üblich keine Details nach außen gegeben. Apple habe in der Folge um weitere Details und um sechsmonatiges Stillschweigen gebeten, diese Frist scheint nun abgelaufen, die Lücke stünde aber weiterhin offen

Eine Stellungnahme Apples zu diesem Thema steht bislang aus. Sollten sich die Behauptungen bewahrheiten, wäre mit Blick auf die nun für jedermann verfügbare Anleitung zum Ausnutzen der Schwachstelle nun eine schnelle Reaktion des Herstellers erforderlich. (via The Register)

Demo: Gestohlene iCloud-Anmeldung

Mac-Demo mit Google Chrome als Ziel

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
17. Jun 2015 um 14:18 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    29 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • In Sicherheitsfragen ist Apple echt langsam wie sonst was. Warscheinlich ist nen weiterer Programmierer zu teuer… -.-

    • Ich glaube eher, die sind so vertieft mit iOS 9 und Apple Music, das sie garkeine Zeit dafür haben..
      Ist schlimmer als bei Samsung geworden.

    • Hacker-Test im App-Store: Fast 90 Prozent der Apps waren unsicher
      Von 1.612 überprüften Mac-Apps und 200 iOS-Apps auf die die Berufs-Hacker ihre Schad-Tools anwandten, konnten Sie bei erschreckenden 88,6 Prozent die gespeicherten Passwörter auslesen – eine äußerst gute Quote für die Angreifer. Die Spyware geht dabei vereinfacht gesagt wie folgt vor: Sie löscht den Passwort-Eintrag im virtuellen Schlüsselbund für die gewünschten Apps und zwingt diese so dazu, den Nutzer erneut nach seinem Passwort zu fragen. Gibt er dieses ein, kann das Hacker-Programm darauf zugreifen.

  • Déjà-vu…

    Microsoft hatte/hat die selben Probleme, aber auf Apple schimpft keine Fanboy ;-)

    • Oh, na dann ist Apple natürlich fein raus. Man, hier bekommt manch einer auch immer sofort einen Beißreflex und muss auf andere (hier Microsoft) zeigen, nur wenn mal eine kritische Nachricht über Apple erscheint. Im Übrigen: lass uns doch mal teilhaben an Deinem Wissen und zeig uns ein paar Informationen bezüglich Microsoft.

      • Bis ich bei Apple ein Sicherheitsupdate erhalte, gibt es bei Windows 10!!

      • Was genau willst du denn wissen? MS hat ein gewaltiges Portfolio an Technologien von Desktop-Dummuser bis Enterprise Lösungen über Cloudtechnologien wovon Apple nur träumen kann.
        Mecker Mecker… Sicherheistlücken gab es schon immer (auch bei Apple, nur hat sich für diese Minderheit damals keine Sau Interresiert) und wird es immer geben! Mein Fazit als (über 25 Jährige Erfahrung als IT’ler) -Fehler „F20“- Der Fehler sitzt 20cm vor dem Bildschirm. Gruß

    • Doch! Gleich die beiden ersten Kommentare zeigen doch die Unwahrheit deiner Aussage!
      Keine Lust zu lesen?

  • Zum Update der ifun-App:

    Bitte, bitte, bitte,
    ich möchte auf dem iPad die Ansicht im Querformat wieder haben!!

    Viele Grüße
    Udo

  • Die NSA hat wohl die Schliessung der Lücke verboten. So allmählich glaube ich, dass das alles Kalkül ist. Wie war das nochmal mit der Tür? Eine schliesst sich, eine andere geht auf. Ist wohl wie bei unseren Politikern, alle wissen sie von den bespitzelungen und darum machen auch alle die Augen auch ganz fest zu. Nix gesehen, bedeutet nix gewusst, oder?

    • Twittelatoruser

      Genau, die NSA kann alles, weiß alles, ist die absolute Übermacht. Darum haben die USAler uns in Motorentechnik übertrumpft und scheißen auf die Akku-Herstellung der Südkoreaner. Nicht wahr?

  • <- Apple Fan hier:

    das kommt vermutlich durch die ermöglichte Kommunikation von Apps untereinander.

    Find ich untragbar! Vor allem nach 6 Monaten in keiner der Updates etwas passiert ist.

    • Du wolltest wahrscheinlich sagen :
      […] Vor allem, dass nach 6 Monaten in keinem der Updates etwas passiert ist.
      Ja, ja doitse Sprake, swere Sprake!

      • Twittelatoruser

        Hey, dat is och fua detsche nit so laicht, weste? Of redä dia selba scho nit janz korräkt.
        .
        Hintergrund: Selbst ich finde es super, dass man mich auf grammatikalische oder Rechtschreibfehler (die nicht eindeutig Tippfehler sind) hinweist. Man lernt nie aus. Aber mit dem letzten Satz machst du dich etwas lächerlich. Zum einen war es verständlich, was er meinte, und zum anderen ist das Verspotten etwas übertrieben.

  • Ich habe Apple in Sicherheitsfragen noch nie getraut. Deshalb hab‘ ich auch die Keychain nie benützt. Alles schön ordentlich in einem Heftchen aufgeschrieben und jetzt bin ich heilfroh, dass ich vielleicht gesamthaft ’ne halbe Stunde mehr gebraucht habe, wenn überhaupt. Die am meisten benützten Passwörter weiß man sowieso nach 1-2 Wochen auswendig. Und wer braucht schon für ein simples Website-Login ein 19-stelliges Passwort? Völlig übertrieben, dieser Sicherheitswahn und jetzt sieht man ja, wo’s hinführt: Ein Schuss in den Ofen !!!

    • Twittelatoruser

      Hey, du weißt ja alles so viel besser! Kauf dir ein Smartie davon!
      .
      Hintergrund: Wenn du einen guten Passwortmanager wie 1password nutzt, dann kann dir dies nahezu egal sein, da die anderen Apps nur die verschlüsselten Passwortdaten auslesen können. Blöd wäre es, wenn du für kurzzeitigen wiederholten Zugriff einstellst, dass du in der kurzen Zeit nur ein kurzes Passwort brauchst. Dann wird das Masterpasswort in der Keychain gespeichert. Auch die Funktion Touch ID nutze ich nicht, da zwar die Erlaubnis im Secure Chip gespeichert wird, aber in der USA darf die dortige Polizei dich dazu zwingen den Finger zum Entsperren zu nutzen (wobei z.B. CCC schon mehrmals gezeigt hat, dass man selbst durch Fingerabdrücke auf dem Display einen falschen und für Touch ID funktionierenden Finger produzieren kann), aber sie dürfen dich nicht dazu zwingen das Passwort zum Entsperren einzugeben.

    • Keychain ist nicht nur dein persönlicher Passwortmanager, sonder wird auch von den Apps zum Speichern von Passwörtern und Tokens benutzt. Du willst ja, dass die Apps im Hintergrund funktionieren und Mails abfragen etc.
      Du selber hast keinen Einfluss darauf, ob eine App Keychain benutzt.

      • Twittelatoruser

        Das kann ich auch bestätigen. Theoretisch ist dies immer möglich. Man könnte verschwörerisch behaupten, dass iOS sowieso alle Passwörter an die NSA weiterleitet. Theoretisch wäre das kein Problem. Praktisch stellt man sich die Frage, warum die USA nicht schon längst alles weiß und in fast allem besser ist. Win ist von MS und deren Hauptsitz ist USA. Praktisch geben einem „gute Apps“ die Entscheidungsgewalt, was in der Keychain gespeichert wird. Leider machen die dies nicht immer klar (wie für kurzzeitigen Zugriff auf 1password man eine kurze PIN einstellen kann, aber nicht sagen, dass das Masterpasswort dann in der Keychain gespeichert wird). Dass aber Apps gerne in der Keychain speichern, ist auch meine Erfahrung.

  • Hallo iFun, die neue App wird bei mir unter iOS9 beta nicht korrekt angezeigt, die App nutzt auf dem iPhone 5S nur ca.80% des Bildschirms, auch die Kommentarfunktion ist so gut wie sinnlos, denn der Ad Balken ist genau über dem Button zum aufklappen der Kommentare. bitte reicht schnell ein Update nach. Grüße

  • Servus,

    also nochmal rekapitulieren wir mal nach dem 2. Video was alles „benötigt“ wird:

    a) Es muss eine „App“ in der Keychain ein Eintrag anlegen und dabei (wichtig) den Benutzernamen (!) bereits kennen
    b) Erst danach(!) muss sich jemand dann über die App über welche der Angriff erfolgen soll der Nutzer einloggen. Hätte er sich vorher bereits angemeldet. Auf bereits angelegte Einträge können die Rechte nicht ausgeweitet werden (soweit ich es beim ersten überfliegen verstehe).
    c) Danach muss erneut die „Malware“ gestartet werden und erst dann kann diese die Daten auslesen.

    Darf jeder selber entscheiden, wie wahrscheinlich ein solcher Angriff bei einem selber ist. Im Endeffekt ist er nur interessant für „neue“ Installationen bzw. Erstnutzer die eine leere Keychain haben und die Malware praktisch zuerst starten.

    Versteht mich nicht falsch – ja, es existiert eine Lücke und ja, eine solche Lücke gab es auch schon in anderen Systemen. Natürlich muss die Lücke korrigiert werden – versteht sich von selber. Aber wenn ich die Lücke jetzt aufgrund des ersten überfliegen einschätzen dürfte – dann ist die vielleicht bei einer Skala von 1 bis 10 auf einer 4.

    Kritischer finde ich z.B. immer noch, dass viele Apps Zugangsdaten/Tokens zu Webservices im relativen Klartext in der App gespeichert haben und damit theoretische Angreifer der Zugriff auf den Webservice ermöglichen inkl. vollem Zugang auf alle Daten. *DAS* ist eine Lücke die ich als 9 von 10 klassifizieren würde und immer noch oft genug existiert.

  • Ach Moment. Das Ganze betrifft iOS ja gar nicht. Nur Mac. Damit ist jegliche Berichterstattung die gerade erscheint falsch.

  • 20 cm vom Bildschirm entfernte Benutzer, haben ein ganz anderes Problem als Bedienungsfehler!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39364 Artikel in den vergangenen 8442 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven