17.06.2015
Offen wie ein Scheunentor?
Schwere Sicherheitslücken in iOS und OS X
Autor: Andreas Fischer
Shutterstock/360b
Nach Angaben mehrerer Universitätsforscher sind das Sandboxing-System und die Schlüsselbundverwaltung von Apple nicht sicher. So soll es möglich sein, private Daten, Fotos und Passwörter zu klauen.
Forschern mehrerer Universitäten ist es gelungen, Sicherheitsmechanismen in Apple-Produkten zu umgehen. Sie entdeckten mehrere Lücken, über die sie von einer manipulierten App auf andere Anwendungen zugreifen konnten. Eigentlich sollte dies nicht möglich sein.
13,6 Milliarden Dollar Gewinn machte, forderte sie auf, mindestens sechs Monate zu warten, reagierte dann aber nicht mehr. Deswegen entschieden sie sich, ihre Erkenntnisse in einem Whitepaper (PDF) zu veröffentlichen.
Nach ihren eigenen Aussagen informierten sie Apple über die Lücken. Der Hersteller, der im vergangenen Quartal Den Forschern war es gelungen, eine Malware-App in den App Store von Apple einzuschleusen. Mithilfe dieser App war es dann möglich, Daten von anderen Anwendungen mittels „Cross-App Resource Access Attacks“ (XARA) auszuspionieren. Unter anderem soll es möglich gewesen sein, Zugangsdaten zur iCloud, E-Mail und Banking-Anwendungen sowie das geheime Evernote-Token zu klauen. Normalerweise sollte dies durch die Apple-Schlüsselbundverwaltung verhindert werden.
Die Forscher knackten nach eigenen Angaben auch das Sandbox-System von Apple, das jede Anwendung in einer abgeschlossenen Umgebung – der Sandbox – ausführt. Dadurch soll eigentlich verhindert werden, dass eine App auf Daten einer anderen App zugreift. So war ein Zugriff auf private Evernote-Notizen und WeChat-Fotos möglich.
Die Forscher entwickelten außerdem einen Scanner, der Lücken in Apps finden soll. Wie sie in ihrem Whitepaper schreiben, sollen viele weit verbreitete Apps nicht sicher sein. In mehreren Videos zeigen sie, wie die Sicherheitslücken funktionieren.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
EU-Entscheidung
Apple muss auch das iPad für alternative App-Stores öffnen
Nachdem die EU-Kommission bereits die Öffnung der iPhones für alternative Anbieter von App-Stores erzwungen hat, muss Apple dies nun auch auf dem iPad ermöglichen.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>