XARA-Sicherheitslücken ermöglichen Passwortdiebstahl in iOS und OSX

Eine Gruppe von Forschern von der Universität des US-Bundesstaats Indiana informierte über die Entdeckung mehrerer Sicherheitslücken in den Betriebssystemen OS X und iOS. Die weitaus beunruhigendere Nachricht liegt aber darin, dass es ihnen gelungen ist, den so genannten Schlüsselbund zu hacken, den das Unternehmen für Apps und ihre Sandboxes in OS X benutzt.

Wie sich herausstellte, ist an allem ein unzureichender Authentifizierungsmechanismus Schuld, der bei der Interaktion zwischen Apps verwendet wird. In einem von der Universität veröffentlichten Bericht wird darauf hingewiesen, dass die nun entdeckten Lücken es ermöglichen, Exploit-Attacken auf Apple-Apps durchzuführen und Passwörter für die iCloud zu stehlen sowie Authentifizierungstoken und Kennwörter für Web-Ressourcen, die in Google Chrome gespeichert sind. Die Untersuchung wurde von Studenten der Universität von Indiana mit Unterstützung von Tongxin Li von der Pekinger Universität und Xiaojing Liao vom Georgia Institute of Technology durchgeführt.

Die Autoren des Artikels „Unauthorized Cross-App Resource Access on MAC OS X and iOS“ (PDF) bezeichnen die Gesamtheit der gefundenen Fehler als XARA, hergeleitet von Cross-App Resource Access.

Ein auf Grund von XARA auf den Rechner geladenes Schadprogramm, das sich in der Sandbox befindet und bereits die Standard-Überprüfung von Apple durchlaufen hat, kann Zugriff auf wichtige Daten anderer Apps erhalten. Dadurch eröffnet sich einem Angreifer unter dem Strich die Möglichkeit, Informationen aus den Apps Dropbox, Facebook, Evernote, der IM-App WeChat und sogar in 1Password abgelegte Kennwörter zu stehlen. Gegenüber Threatpost erklärte einer der Forscher, dass später in diesem Jahr auf einer Demo-Website ein von den Wissenschaftlern entwickeltes Angriffstool öffentlich zur Verfügung gestellt werden würde.

Den Untersuchungsergebnissen zufolge liegt das Hauptproblem in einer schwachen und fehlerhaften Implementierung der Access Control List (ACL) sowie in Defekten von Diensten, die der Interaktion zwischen Apps dienen, wie etwa dem Schlüsselbund und WebSocket in OS X und URL Scheme in OS X und iOS. Das hat zur Folge, dass in der Sandbox laufende Programme willkürliche Einträge im Schlüsselbund löschen und sie mit Hilfe der ACL-Liste neu erstellen können, was wiederum das Lesen von Einträgen und Werten möglich macht.

„Ein Schadprogramm, das im Rahmen der Studie entwickelt wurde, ist in der Lage Einträge im Schlüsselbund zu löschen und zu reproduzieren, das heißt sich selbst und die Ziel-App der ACL hinzuzufügen. Wenn der Anwender aufgefordert wird, seine Registrierungsdaten zu aktualisieren, so speichert er sie, ohne es selbst zu wissen, in einem Element, das von dem Schädling erstellt wurde.“

„Bei dem Versuch, das Wesen des Problems zu verstehen, fanden wir heraus, dass in den meisten Fällen weder das Betriebssystem noch die angreifbare Anwendung auf angemessene Weise die Authentifikation des Interaktionspartners überprüft“, schreiben die Forscher in ihrem Bericht. „Grob gesagt ist eine App einfach nicht in der Lage, den Inhaber eines bestehenden Eintrags im Schlüsselbund zu identifizieren. Apple bietet keine komfortable Methode, eine solche Überprüfung durchzuführen.“

Laut Aussage der Autoren dieser Studie ist es ihnen gelungen, eine Attacke gegen Internet Accounts unter OS X 10.10 durchzuführen und Daten abzufangen, die von dieser App für iCloud und Facebook verwendet wird. In einem Video, das zusammen mit dem wissenschaftlichen Bericht veröffentlicht wurde, demonstrieren die Forscher, wie der iCloud-Token aus dem Schlüsselbund gestohlen wird:

Auf YouTube wurde ebenfalls Videomaterial hinterlegt, in dem die Möglichkeit des Diebstahls von Passwörtern aus Chrome, Tokens aus Pinterest und Pushbullet, Einträgen aus Evernote und Passwörtern aus 1Password belegt wird.

Ein anderer XARA-Typ, der durch einen Schwachpunkt in dem unikalen, BID-basierten Ressourcen-Verteilungsmechanismus in OS X hervorgerufen wird, könnte zu etwas führen, das die Forscher „Container Cracking“ nennen. Wenn die Container-Verzeichnisse einer App preisgegeben werden, können andere Anwendungen sie mit Leichtigkeit ausmachen und die Informationen aus einer in der Sandbox laufenden App folglich auch abfangen, sei es Evernote, Tumblr oder WeChat.

„Wenn die Ziel-App läuft, bestätigt das Betriebssystem jedes Mal die Existenz eines Verzeichnisses mit dem dieser App zugewiesenen BID (als Name), und die App wird automatisch in die ACL-Liste des Verzeichnisses aufgenommen“, erklären die Wissenschaftler der Universität. „Als Folge erhält das Schadprogramm den vollständigen Zugriff auf die Container anderer Anwendungen und durchbricht damit wirksam die Isolation, die die Sandbox eigentlich garantieren soll.“

Die Autoren der Studie räumen ein, dass die von ihnen aufgezeigte Lücke direkt OS X betrifft, sie weisen allerdings darauf hin, dass auch iOS nicht davor gefeit ist. Dessen IPC-Kanal, Scheme, ist angreifbar und auch mit WebSocket gibt es ein Problem. Kurzberichte wurden Apple im Oktober und November zugeschickt, allerdings meinten Vertreter des Unternehmens, dass „der Charakter des Problems“ es nicht zulasse, es schneller als in Halbjahresfrist zu lösen.

Auf Anfrage von Threatpost erklärte ein Apple-Vertreter, dass das Unternehmen Untersuchungen durchführe.

Die Universitätswissenschaftler nehmen an, dass die mit der iCloud zusammenhängende Sicherheitslücke mit der Veröffentlichung des neusten Updates für OS X geschlossen wurde, doch einzelne Mängel wurden ihnen zufolge noch nicht beseitigt. „Wir haben die Version OS X 10.10.3 und die Beta-Version von 10.10.4 getestet und herausgefunden, dass sie versucht haben, das iCloud-Problem durch die Eingabe zufälliger 9-stelliger Zahlen als accountName anzugehen”, schreiben die Autoren des Berichts und ergänzen, dass andere Dienste, darunter auch Gmail, noch immer die E-Mail-Adresse des Anwenders als Account-Attribut benutzt.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.