Planet of Tech

Massive Sicherheitslücke in iOS und OS X ermöglicht auslesen von Passwörtern

Massive Sicherheitslücke in iOS und OS X ermöglicht auslesen von Passwörtern

Eine massive Sicherheitslücke soll es fast allen App-Entwicklern ermöglichen, Passwörter und weitere Daten auf den Apple Betriebssystemen iOS und OS X auszulesen. Der Konzern aus Cupertino weis bereits mehrere Monate Bescheid, getan hat sich jedoch nichts.

Bereits vergangenen Oktober informieren die sechs Sicherheitsforscher der India Universität aus Peking Apple über die schwere Sicherheitslücke. Der Konzern bat die Forscher sechs Monate um Geduld, damit man diese Sicherheitslücke überprüfen und gegebenenfalls schließen könne. Da sich bislang nichts getan hat, veröffentlichten die Forscher nun das große Problem. Die Sicherheitslücke, welche auf der Technologie Cross-App Resource Access Attack (kurz XARA) basiert, gibt dem Entwickler Einblick auf Passwörter. Diese können direkt aus Apps ausgelesen werden. Jedoch können die Passwörter auch aus den Apps von Apple herausgefiltert werden.

 

Damit dies möglich ist, schleusten die Forscher eine infizierte App durch die App-Prüfung von Apple. Da diese mit ihren Richtlinien normalerweise sehr streng ist und auch auf Sicherheit achtet, ist es verwunderlich, warum die App genehmigt wurde. Einmal genehmigt und auf einem Device installiert, kann der Entwickler durch die App Zugriff auf Passwörter des Nutzers bekommen. Betroffen sei hauptsächlich das Betriebssystem OS X, aber auch iOS ist davon betroffen. Und bislang gibt es kein Update, welches die Malware unschädlich machen kann.

Die Malware beziehungsweise die App funktioniert so: sie löscht zunächst den Keychain Abschnitt einer entsprechenden App und legt diesen neu an. Mit der Ausnahme, dass sich die Malware eine Leseerlaubnis einholt. Bei der App Keychain handelt es sich um die interne Passwortverwaltung in OS X und iOS. Sobald der Nutzer mit der App das Kennwort erneut abspeichert, beispielsweise für den Zugang in der Facebook-App, speichert die App die Zugangsdaten an die infizierte Stelle. Die Malware-App hat jetzt die Möglichkeit, das Passwort -hier unser Facebook Kennwort- auszulesen. Da sich die Malware Zugang zu der Apple Keychain-App ergattert, kann sogar der iCloud Token abgegriffen werden. Dieser ermöglicht dem Hacker den Zugang zu dem iCloud Konto.

 

Die Forscher untersuchten die Sicherheitslücke anhand von rund 1.800 Apps89 Prozent dieser gab Einblick auf das gespeicherte Kennwort oder je nach App sogar Einblick auf weiteren Daten. Die bekannten Applikationen 1Password oder Evernote sind ebenfalls von dem Hack betroffen und können ausspioniert werden.

Bislang bezog Apple keine Stellung zu der gravierenden Sicherheitslücke. Fakt ist, dass man sich aktuell nicht auf den Prüfmechanismus von dem Konzern verlassen kann. Apps aus den AppStores können ebenso betroffen sein, wie Apps, welche man im Internet herunterlädt. Bleibt zu hoffen, dass es bald ein Update geben wird, welches die Sicherheitslücken beseitigen wird.

Quelle Titelbild: 360b / Shutterstock.com

Schön, dass du da bist. Wir würden uns sehr freuen, wenn du uns als TechnikSurfer Leser deinen Freunden weiterempfehlen und uns auf den sozialen Netzwerken folgen würdest, damit du nichts mehr verpasst. Es lohnt sich - garantiert!

Moritz Krauß

Moritz Krauß

Founder & Editor in Chief


Ähnliche Artikel

Touch Disease: iPhone 6 Nutzer verklagen Apple wegen Displayproblemen

In letzter Zeit fallen immer mehr iPhone 6 aus – auch das Plus Modell ist betroffen. Scheinbar liegen die Probleme

Gericht bestätigt: Apple hat in Deutschland Patente verletzt

Apple muss sich in letzter Zeit ziemlich häufig zu Gericht begeben – so auch heute in Deutschland. Bei dem heutigen Urteil

Oracle plaudert: so viel verdient Google an Android – sogar Apple profitiert

Während Apple seinen Aktionären verrät, wie profitabel iOS ist, hüllt sich Google schon immer in Schweigen. Keine Zahl wurde besser

  1. Apple schließt Sicherheitslücke, welche Passwörter unsicher machte 20 Juni, 2015, 17:07

    […] Massive Sicherheitslücke in iOS und OS X ermöglicht auslesen von Passwörtern […]

    Reply this comment

Hinterlasse einen Kommentar

Your e-mail address will not be published.
Required fields are marked*


Kommentare erscheinen erst nach der Freischaltung.