Image Image Image Image

XARA-Angriff hebelt Sicherheit in iOS und Mac OS X aus

XARA-Angriff hebelt Sicherheit in iOS und Mac OS X aus

Autsch, das tut besonders nach den Privatsphäre-Ansprachen von Apple-CEO Tim Cook weh: Sowohl Mac OS X als auch iOS auf den iPhones und iPads dieser Welt ist seit einigen Monaten (Oktober 2014) für eine fiese Sicherheitslücke anfällig.

Apple wurde informiert, reagierte aber nicht ausreichend schnell und effektiv auf die Warnung der InfoSec-Experten. Erste Patches für die Lücke erfolgten in 10.10.3 und 10.10.4 (Beta), der Angriff funktioniert aber aktuell immer noch, gegebenenfalls mit Modifikation.

XARA 0day für Mac OS X und iOS

Kurz zusammengefasst: Dieses 0day-Exploit trifft Apple-User mit Mac oder iPad / iPhone / iPod touch an den verwundbarsten Stellen und ist nur auf Betriebssystem-Ebene zu beheben. Eigentlich arbeiten Apps in Apples Betriebssystemen in einer gewissen Isolation, der sogenannten Sandbox.

Diese dient wie ein System aus Schotten auf einem Schiff zur Schadensbegrenzung im Katastrophenfall - genauer können Anwendungen deswegen nicht einfach frei auf Dateien anderer Anwendungen zugreifen oder beliebige Schäden am System verursachen. In einem neuen Verfahren konnten Hacker diese Sicherheitsvorrichtung nun partiell umgehen.

Die Folgen der Lücke werden bei The Register und diversen deutschsprachigen IT-Websites momentan ein bisschen zu sehr gehyped, sagen InfoSec-Experten.

Der Hintergrund: Sechs chinesische IT-Sicherheitsforscher erläutern in einem Informatik-Paper die Problematik der sogenannten Cross-App Resource Access Attacks (kurz: XARA) und ihre verheerende Wirkung auf die Sicherheit von sensiblen Daten und Passwörtern sowie iCloud Authentifikationstokens.

Letztere plappert die Mac OS X Keychain bzw. der Schlüsselbund aus, auch per Cross-App Ressourcenangriff. Über Google Chrome lassen sich hinterlegte Zahlungsdaten von den Angreifern abrufen, als wären sie ungeschützt im Klartext auf der Platte gespeichert. Sogar Kennwörter aus 1Password konnte man mit einem XARA-Angriff auf Websockets der App auslesen, oder Kontakte aus Evernote. So der sensationalisierte Bericht von The Register.

Liest man sich aber einige nüchterne Kommentare zum Thema durch, werden diese Behauptungen teilweise relativiert:

It's not bad work but it looks like The Register has hyped it much too far. Breakdown:

  • OSX (but not iOS) apps can delete (but not read) arbitrary Keychain entries and create new ones for arbitrary applications. The creator controls the ACL. A malicious app could delete another app's Keychain entry, recreate it with itself added to the ACL, and wait for the victim app to repopulate it.
  • A malicious OSX (but not iOS) application can contain helpers registered to the bundle IDs of other applications. The app installer will add those helpers to the ACLs of those other applications (but not to the ACLs of any Apple application).
  • A malicious OSX (but not iOS) application can subvert Safari extensions by installing itself and camping out on a Websockets port relied on by the extension.
  • A malicious iOS application can register itself as the URL handler for a URL scheme used by another application and intercept its messages.

The headline news would have to be about iOS, because even though OSX does have a sandbox now, it's still not the expectation of anyone serious about security that the platform is airtight against malware. Compared to other things malware can likely do on OSX, these seem pretty benign. The Keychain and BID things are certainly bugs, but I can see why they aren't hair-on-fire priorities.

Unfortunately, the iOS URL thing is I think extraordinarily well-known, because for many years URL schemes were practically the only interesting thing security consultants could assess about iOS apps, so limited were the IPC capabilities on the platform. There are surely plenty of apps that use URLs insecurely in the manner described by this paper, but it's a little unfair to suggest that this is a new platform weakness.

Der Ablauf: Erklärung von einem Hacker

Ein anderer Hacker kommentierte die Schlüsselbund-Lücke mit einer Erklärung: Elemente in eurem Schlüsselbund haben eine ACL, eine sogenannte Access Control List. Auf dieser Liste sind Anwendungen enthalten, denen der Zugriff auf diese "sichere Information" gestattet ist, beispielsweise auf ein Passwort.

Malware mit der oben erwähnten XARA-Methode kann zwar nicht den Inhalt dieser Schlüsselbund-Elemente lesen, kann sie aber durchaus löschen und eigene Einträge erstellen, wo dann ein Whitelist-Eintrag auf der ACL für die Malware und die Banking-App enthalten ist. Beim nächsten Abruf von z.B. Logindaten für eure Bank, fragt die Banking-App den Schlüsselbund nach dem Eintrag, der vorhanden aber leer ist.

Offenbar wird dann von der Banking-App erneut um Eingabe des Nutzers gebeten, die Situation sieht seriös aus, der User gibt seine Daten ein - schwupp hat die Malware einen hübsch populierten Schlüsselbundeintrag mit vollem Zugriff auf das Kennwort.

Verwundbarkeit auf Betriebssystemebene

Das Forschungsteam schaute sich 1612 Mac Apps und 200 iPhone Apps an, insgesamt waren davon 88,6% komplett anfällig für das Exploit und somit ließen sich sämtliche Daten der Nutzer dieser Apps abschöpfen. Wohlgemerkt lässt sich der Angriff mit Anwendungen, die durch den Kontrollprozess durch Apple kamen und in den öffentlichen Stores verfügbar waren (also nicht mithilfe von zwielichtigen Websites oder Torrents verbreitet wurden), auf einem herkömmlichen System bewerkstelligen.

Apple war sich bei der ersten Kontaktaufnahme offensichtlich der Schwere dieser Sicherheitsproblematik bewusst und bat um mindestens 6 Monate Zeit um die Probleme zu beheben. Im Februar forderte Apple ein Vorabexemplar der zu veröffentlichten Studie an, die jetzt als PDF vorliegt.

Our study brings to light a series of unexpected, security-critical aws that can be exploited to circumvent Apple's isolation protection and its App Store's security vetting. The consequences of such attacks are devastating, leading to complete disclosure of the most sensitive user information (e.g., passwords) to a malicious app even when it is sandboxed.

Such findings, which we believe are just a tip of the iceberg, will certainly inspire the follow-up research on other XARA hazards across platforms. Most importantly, the new understanding about the fundamental cause of the problem is invaluable to the development of better app isolation protection for future OSes.

Die Sicherheitslücke funktioniert auch aus der Sandbox heraus, betrifft also iDevices mit und ohne Jailbreak. Unter iOS macht man sich hierfür die URL-Schemes zunutze. Auf dem Mac wird ebenso die Sandbox umgangen, daher sind die Sicherheitseinstellungen mit Restriktion auf Apps aus dem Mac App Store leider keine Lösung.

Aktuell ist die Situation als sehr, sehr unangenehm einzustufen und es mangelt an einer Lösung. Auch wenn die Story sensationalisiert wird und bislang keine eindeutigen Berichte von tatsächlichen Exploits in freier Wildbahn zu finden sind, klafft die Lücke doch schon bedrohlich - insbesondere für Otto-Normal-User und sicherheitstechnisch Unbesorgte, die sich auf eine wahrgenommene Malware-Unverwundbarkeit von Apple-Systemen berufen.

Ihr könnt als erfahrene User folgenden Befehl in Terminal eingeben, um besagte ACLs zu prüfen und eventuell seltsame Appnamen in Bezug auf eure Schlüsselbundelemente ausfindig zu machen, zumindest auf dem Mac ist das möglich:

security dump-keychain -a | grep .app

via The Register | Hacker News


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:



← Menü öffnen weblogit.net | Home