Kritische Sicherheitslücken bei Apple- und Samsung-Geräten

Letzte Woche erregten Medienberichte zu Sicherheitslücken bei Apple- und Samsung-Geräten öffentliche Aufmerksamkeit. Bei Computern und Mobilgeräten von Apple soll es gar gelungen sein, Passwörter und vertrauliche Daten zu stehlen. Was steckt dahinter?

Sechs Forscher aus den USA und China publizierten Mitte Juni eine ganze Reihe von „XARA“ benannten Sicherheitslücken in Apples Betriebssystemen iOS und Mac OS X. Betroffen ist unter anderem der Schlüsselbund, die Datei, in die Anwendungen auf Apple-Betriebssystemen Passwörter und andere Geheimnisse schreiben. Durch einen Designfehler gelingt es einem Schadprogramm, den Schlüsselbund-Eintrag eines anderen Programms zu löschen. Danach ersetzt es ihn durch einen gleich aufgebauten Eintrag, auf den es selbst zugreifen kann. Gleichzeitig gewährt die Malware auch dem legitimen Programm Zugriff. Dieses speichert fortan seine Geheimnisse in den kompromittierten Schlüsselbund-Eintrag. Mit diesem Trick gelangten die Forscher an Zugangsdaten von Apps wie iCloud, Gmail oder Facebook. Ebenso gelang es ihnen, die Zugangsdaten aller passwortgeschützten Dienste, die im Chrome-Browser benutzt wurden, auszulesen. Da unter iOS eine App nur auf den eigenen Schlüsselbund-Eintrag zugreifen kann, sind Mobilgeräte von dieser Schwachstelle nicht betroffen.

Ein weiteres Problem, das bloß unter Mac OS X auftritt, geht von in Apps eingebetteten Hilfsprogrammen aus. Normalerweise können Apps ausschließlich auf ihre eigenen Daten zugreifen. Das wird sichergestellt, indem diese in einem Datenverzeichnis gespeichert werden, dessen Namen der Bundle ID (BID) der App entspricht. Vor der Publikation eines Programms im Mac App Store stellt Apple sicher, dass diese BID einmalig ist. In Apps eingebettete Hilfsprogramme besitzen jedoch eine eigene BID und diese wird von Apple nicht geprüft. Eine Schadsoftware kann daher ein Hilfsprogramm mit der BID einer anderen App beinhalten. Über dieses Hilfsprogramm erhält sie Zugriff auf das Datenverzeichnis der fremden App. Die Forscher zeigen dies am Beispiel von Evernote. Es gelang der Malware, sämtliche Kontaktdaten und Notizen, aus dem Datenverzeichnis von Evernote auszulesen.

Als wäre dies nicht schon schlimm genug, lässt sich auch die Kommunikation der Programme untereinander belauschen. Besonders Browsererweiterungen verwenden oft Hilfsapplikationen, mit denen sie über das WebSocket-Protokoll Daten austauschen. Die Kommunikation findet über einen festgelegten TCP-Port statt. Eine böswillige App kann sich einklinken, indem sie den Port belegt, bevor das legitime Hilfsprogramm gestartet wird. Die Entdecker erwähnen das Beispiel von 1Password, einer Browsererweiterung zum Passwortmanagement. Diese speichert die Passwörter über ihre Hilfsapplikation 1Password mini auf die Festplatte. Gelingt es der Malware, den für die Kommunikation benutzten TCP-Port 6263 vor 1Password mini zu belegen, kann sie sämtliche im Browser eingegebenen Passwörter abgreifen.

Eine andere Möglichkeit von Programmen, untereinander Daten auszutauschen, sind URLs. Das URL-Schema (der Teil der URL vor dem Doppelpunkt) bestimmt, welches Programm zur Verarbeitung einer URL aufgerufen wird. Eine Malware kann sich in die Kommunikation einschalten, indem sie das URL-Schema eines anderen Programms für sich registriert. Dieses URL-Schema-Hijacking ist hauptsächlich unter iOS von Bedeutung, da iOS-Apps häufig von der Kommunikation über URLs Gebrauch machen. Die Forscher präsentieren als Beispiel Pinterest. Dieses nutzt zur Authentifizierung des Benutzers Facebook. Die Malware registriert für sich das URL-Schema, das die Facebook-App aufruft, um das Zugangs-Token an die Pinterest-App zu übergeben und fängt dieses so ab. Offenbar sind auf iOS – unter anderen – auch Onlinebanking-Apps, das PayPal- und das Amazon-App auf diese Weise verwundbar.

Die Entdecker des Xara-Lecks platzierten die Programme zum Ausnützen dieser Sicherheitslücken trotz strenger Sicherheitsprüfung durch Apple erfolgreich im App Store und im Mac App Store. Im Oktober 2014 informierten sie den Computerkonzern über die Sicherheitsprobleme. Dieser bedingte sich zur Behebung eine Zeit von sechs Monaten aus. Nachdem die Lücken Mitte Juni noch nicht behoben waren, informierten die Sicherheitsforscher die Öffentlichkeit.

Gleichzeitig wurde ein Sicherheitsmangel bekannt, der über 600 Millionen Samsung-Smartphones betrifft, darunter die Modelle Galaxy S6, S5 und S4. Die vorinstallierte SamsungIME-Tastatur führt Updates der Sprachpakete unverschlüsselt durch. Dabei soll es laut dem Entdecker Ryan Welton von der Sicherheitsfirma NowSecure möglich sein, dem Update-Prozess ungeprüft Programmcode unterzuschieben, der dann mit Systemrechten ausgeführt wird. Damit ist es einem Angreifer, der den Netzwerkverkehr kontrolliert, möglich, Malware auf dem Handy zu installieren. Nachdem Samsung bereits im März einen Patch an die Mobilfunkbetreiber auslieferte, will der Smartphone-Hersteller in Kürze ein Over-the-Air-Update für die Endbenutzer anbieten.

Diese Sicherheitslücken – so unterschiedlich sie sind – zeigen: Längst sind nicht mehr nur schlecht konfigurierte Windows-Rechner und Server Ziel von Hackerangriffen. Mit steigender Verbreitung sind zunehmend auch Apple-Computer und Mobilgeräte Attacken ausgesetzt. Umso wichtiger ist es für Unternehmen, den Zugang zu Daten und Kommunikation gründlich abzusichern. Wie gefährlich die Kommunikation in unsicheren Netzwerken wie öffentlichen WLAN-Hotspots sein kann, offenbart gerade die Sicherheitslücke der Samsung-Handys. In unsicheren Netzen ist daher unbedingt eine VPN-Verbindung zu verwenden. Die verschiedenen Wege, in Apple-Systemen Passwörter zu stehlen, führen überdies eindrücklich die Grenzen einer Authentifizierung ausschließlich durch Benutzernamen und Passwort vor Augen. Heute ist es unerlässlich, den Zugriff auf Daten durch eine Multi-Faktor-Authentifizierung zu schützen. Dabei darf der zweite Faktor neben Benutzernamen und Passwort nicht auf dem System selbst gespeichert werden. Am besten eignet sich dafür ein Hardware-Token.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie können dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>