© prettyboy80/Shutterstock.com
Mobile Technology
Auch Mac OS X und iOS haben Schwachstellen mit Namen

Die böse XARA

Seit letztem Jahr ist es ja üblich geworden [1], dass Schwachstellen mehr oder weniger schöne Namen erhalten. Dann lassen sie sich auch viel besser vermarkten. Auch XARA ist so ein Name, und zwar die Abkürzung von „Cross-App Resource Access“. Dahinter verbirgt sich aber nicht nur eine einzelne Schwachstelle, sondern gleich vier davon. Die stecken in Mac OS X und iOS und lassen sich für verschiedene Angriffe nutzen. Das ist schon mal schlecht.

Carsten Eilers


Noch schlechter ist, dass Apple seit Oktober 2014 [2] versucht, die Schwachstellen zu schließen. Und das anscheinend nicht schafft. Im Februar wurde eine erweiterte Beschreibung der Schwachstellen angefordert, nachdem man im Oktober noch um sechs Monate Zeit zu deren Behebung gebeten hatte, weshalb die Entdecker der Schwachstellen sie nun veröffentlicht haben – nicht, um Apple zu ärgern, sondern um alle Benutzer zu warnen, damit die sich selbst schützen können.

Entdeckt wurden die Schwachstellen von Luyi Xing, Xiaolong Bai, XiaoFeng Wang und Kai Chen von der Universität Indiana, Tongxin Li und Xinhui Han von der Universität Peking, Shi-Min Hu von der Universität Tsinghua und Xiaojing Liao vom Georgia Institute of Technology. Die acht Forscher haben sowohl ein Paper mit einer Beschreibung der Schwachstellen („Unauthorized Cross-App Resource Access on MAC OS X and iOS“, PDF [3]) als auch Videos verschiedener Angriffe [4] veröffentlicht.

Resource Sharing, ganz anders als von Apple gedacht

Die Schwachstellen wurden in verschiedenen App-übergreifenden Ressourcen wie dem Schlüsselbund und Kommunikationskanälen einschließlich WebSocket und Scheme gefunden. Ein bösartiges Programm kann sensible Daten anderer Programme ausspähen und auch aus seiner Sandbox ausbrechen. Das Grundproblem ist dabei die Authentifizierung des Gegenübers durch System und Programme – sie findet oft schlicht und ergreifend nicht statt.

Die acht Forscher entwickelten ein Analysetool, das Binaries daraufhin untersucht, ob bei der Nutzung verwundbarer Resource-Sharing-Mechanismen oder Kommunikationskanäle Sicherheitschecks durchgeführt werden oder nicht. Beim Test der 1 612 populärsten Mac-Apps und 200 iOS-Apps waren 88,6 Prozent der Apps von den XARA-Schwachstellen betroffen.

Eine ebenfalls entwickelte und in den Mac App Store eingeschleuste PoC-App konnte aus dem Systemschlüsselbund zum Beispiel Passwörter und Secret Tokens lesen, die darin von der System-App „Internet Accounts“ (iCloud, E-Mail- und Social-Network-Konten), Goo­gle Chrome (Bank- und Gmail-Passwörter), 1Password und Evernote gespeichert wurden. Über eine weitere Schwachstelle konnten alle privaten Notizen von Evernote und alle Fotos von WeChat aus der Sandbox der jeweiligen App ausgespäht werden.

Die Chrome-Entwickler haben nach der Meldung der Schwachstelle die Nutzung des Schlüsselbunds eingestellt [2], da die Schwachstelle auf Systemebene behoben werden muss.

Die Schwachstellen im Überblick

XARA umfasst eine ganze Reihe von Schw...

Mobile Technology
Auch Mac OS X und iOS haben Schwachstellen mit Namen

Die böse XARA

Seit letztem Jahr ist es ja üblich geworden [1], dass Schwachstellen mehr oder weniger schöne Namen erhalten. Dann lassen sie sich auch viel besser vermarkten. Auch XARA ist so ein Name, und zwar die Abkürzung von „Cross-App Resource Access“. Dahinter verbirgt sich aber nicht nur eine einzelne Schwachstelle, sondern gleich vier davon. Die stecken in Mac OS X und iOS und lassen sich für verschiedene Angriffe nutzen. Das ist schon mal schlecht.

Carsten Eilers


Noch schlechter ist, dass Apple seit Oktober 2014 [2] versucht, die Schwachstellen zu schließen. Und das anscheinend nicht schafft. Im Februar wurde eine erweiterte Beschreibung der Schwachstellen angefordert, nachdem man im Oktober noch um sechs Monate Zeit zu deren Behebung gebeten hatte, weshalb die Entdecker der Schwachstellen sie nun veröffentlicht haben – nicht, um Apple zu ärgern, sondern um alle Benutzer zu warnen, damit die sich selbst schützen können.

Entdeckt wurden die Schwachstellen von Luyi Xing, Xiaolong Bai, XiaoFeng Wang und Kai Chen von der Universität Indiana, Tongxin Li und Xinhui Han von der Universität Peking, Shi-Min Hu von der Universität Tsinghua und Xiaojing Liao vom Georgia Institute of Technology. Die acht Forscher haben sowohl ein Paper mit einer Beschreibung der Schwachstellen („Unauthorized Cross-App Resource Access on MAC OS X and iOS“, PDF [3]) als auch Videos verschiedener Angriffe [4] veröffentlicht.

Resource Sharing, ganz anders als von Apple gedacht

Die Schwachstellen wurden in verschiedenen App-übergreifenden Ressourcen wie dem Schlüsselbund und Kommunikationskanälen einschließlich WebSocket und Scheme gefunden. Ein bösartiges Programm kann sensible Daten anderer Programme ausspähen und auch aus seiner Sandbox ausbrechen. Das Grundproblem ist dabei die Authentifizierung des Gegenübers durch System und Programme – sie findet oft schlicht und ergreifend nicht statt.

Die acht Forscher entwickelten ein Analysetool, das Binaries daraufhin untersucht, ob bei der Nutzung verwundbarer Resource-Sharing-Mechanismen oder Kommunikationskanäle Sicherheitschecks durchgeführt werden oder nicht. Beim Test der 1 612 populärsten Mac-Apps und 200 iOS-Apps waren 88,6 Prozent der Apps von den XARA-Schwachstellen betroffen.

Eine ebenfalls entwickelte und in den Mac App Store eingeschleuste PoC-App konnte aus dem Systemschlüsselbund zum Beispiel Passwörter und Secret Tokens lesen, die darin von der System-App „Internet Accounts“ (iCloud, E-Mail- und Social-Network-Konten), Goo­gle Chrome (Bank- und Gmail-Passwörter), 1Password und Evernote gespeichert wurden. Über eine weitere Schwachstelle konnten alle privaten Notizen von Evernote und alle Fotos von WeChat aus der Sandbox der jeweiligen App ausgespäht werden.

Die Chrome-Entwickler haben nach der Meldung der Schwachstelle die Nutzung des Schlüsselbunds eingestellt [2], da die Schwachstelle auf Systemebene behoben werden muss.

Die Schwachstellen im Überblick

XARA umfasst eine ganze Reihe von Schw...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang