Sicherheitslücke in iOS und OS X erlaubt Schlüsselbund-Zugriff

Florian Matthey 3

Im iOS und OS X klafft eine bedenkliche Sicherheitslücke: Trotz der Abschottung einzelner Apps in „Sandboxes“ ist es für Malware möglich, über den Schlüsselbund des Betriebssystems Passwörter auszulesen. Selbst App-Store-Apps könnten gefährlich sein.

Sicherheitslücke in iOS und OS X erlaubt Schlüsselbund-Zugriff

Wissenschaftler von der Indiana University und dem Georgia Institute of Technology haben eine Sicherheitslücke im iOS und OS X entdeckt, durch die Angreifer potentiell Zugriff auf Passwörter von Benutzern bekommen können. Apple soll seit Oktober letzten Jahres informiert sein; dennoch sind die Lücken auch heute noch in den Betriebssystemen vorhanden. Der Mac-, iPhone- und iPad-Hersteller hatte darum gebeten, dass die Wissenschaftler die Sicherheitslücken für sechs Monate nicht publik machen sollten; diese Frist ist jetzt aber schon lange abgelaufen.

Die Lücken lassen sich offenbar wie folgt ausnutzen. Eine App kann zwar nicht den Inhalt von Einträgen im Schlüsselbund des Betriebssystems auslesen. Möglich ist es aber, dass sie auf die „Whitelist“ des Schlüsselbundes kommt; dass das Betriebssystem ihr also quasi vertraut. Hier kann die Malware ins Spiel kommen: Sie kann einen Schlüsselbund-Eintrag überschreiben und sich selbst zusätzlich auf die Whitelist setzen. Wenn der Benutzer in der anderen, zuvor auf der Whitelist befindlichen App dann das Passwort erneut eingeben muss - weil es jetzt einen neuen Schlüsselbund-Eintrag gibt -, erhält auch die Malware Zugriff zu diesem Passwort.

Besonders pikant ist, dass sich Malware, die diese Lücke ausnutzen soll, nicht ohne Weiteres erkennen lässt. Obwohl Apple bezüglich des Problems gewarnt ist, war es den Wissenschaftlern möglich, entsprechende Test-Apps im Mac App Store und App Store einzureichen und die Freigabe von Apple zu bekommen. Mit anderen Worten: Auch Apps, die aus den App Stores stammen, sind nicht vertrauenswürdig.

Bis Apple das Problem behoben hat, bleibt Benutzern lediglich die Möglichkeit, sehr achtsam zu sein: Sie sollten Apps nur dann Zugriff auf den Schlüsselbund erlauben, wenn diese von wirklich vertrauenswürdigen Entwicklern stammen. Sie sollten außerdem skeptisch sein, wenn andere Apps nach Passwörtern fragen, obwohl diese normalerweise automatisch über den Schlüsselbund eingetragen werden. Bei besonders sensiblen Passwörtern - beispielsweise für Online-Banking - sollte vielleicht von der Verwendung des Schlüsselbundes ganz abgesehen werden.

Entwickler können wiederum vorübergehend die Verbindung ihrer App zum Schlüsselbund kappen. Google soll dies für Chrome bereits getan haben.

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* Werbung