„iLeakage“-Angriff kann Apple Safari zwingen, Passwörter preiszugeben

Eine Gruppe akademischer Forscher hat einen Angriff durch spekulative Ausführung namens „iLeakage“ entwickelt, der sensible Daten wie Passwörter und E-Mails auf aktuellen Apple-Geräten über den Safari-Webbrowser extrahieren kann.

iLeakage wurde von einem Team von Akademikern des Georgia Tech, der University of Michigan und der Ruhr-Universität Bochum nach umfangreicher Untersuchung der Seitenkanalresistenz von Safari entwickelt. Sie haben auch ein Papier und eine Website veröffentlicht, um die Benutzer vor der Bedrohung zu warnen.

Dieser Angriff ist die erste Demonstration eines Angriffs durch spekulative Ausführung gegen Apple Silicon CPUs und den Safari-Browser. Die Schwachstelle betrifft Macs und iPhones ab 2020, die mit Apples Arm-basierten A-Serie und M-Serie Chips gebaut wurden.

Die Forscher haben einen Proof-of-Concept-Exploit erstellt, der iLeakage als bösartige Website implementiert, die eine Seitenkanal-Schwachstelle in Apples nativen Silizium (A-Serie und M-Serie CPUs) auf iOS- und macOS-Geräten ausnutzen kann, was zu Datenlecks führt.

Sie erreichten dies, indem sie die Seitenisolationsrichtlinie von Safari missbrauchten und eine neue Technik demonstrierten, die es der Angreiferseite ermöglicht, den Adressraum mit beliebigen Opferseiten zu teilen, indem sie diese über die JavaScript window.open API öffneten.

Durch den Aufbau von In-Browser-Eviction-Sets und das Umgehen von Safaris Timer-Minderungsmaßnahmen konnten die Forscher schließlich Apples komprimierte 35-Bit-Adressierung und Wertvergiftungsgegenmaßnahmen mit spekulativer Typverwirrung umgehen, wodurch es den Forschern ermöglicht wurde, sensible Daten wie Passwörter und E-Mails von einem gezielten Mac oder iPhone zu leaken.

„Somit haben wir eine Angreiferseite erstellt, die window.open an einen onmouseover-Ereignislistener bindet, was es uns ermöglicht, jede Webseite in unserem Adressraum zu öffnen, wann immer das Ziel seinen Mauszeiger auf der Seite hat“, heißt es in dem Forschungspapier des Teams.

„Wir weisen darauf hin, dass selbst wenn das Ziel die geöffnete Seite schließt, die Inhalte im Speicher nicht sofort gelöscht werden, was unseren Angriff weiterhin ermöglicht, Geheimnisse offenzulegen.“

Der iLeakage-Angriff wird mit JavaScript und WebAssembly ausgeführt, den beiden Programmiersprachen zur Bereitstellung dynamischer Webinhalte.

Wie in Demovideos (1)(2)(3) gezeigt, konnten die Forscher Gmail-Nachrichten in Safari auf einem iPad und ein Passwort eines Instagram-Testkontos wiederherstellen, das im Safari-Webbrowser mit dem LastPass-Passwortverwaltungsdienst automatisch ausgefüllt wurde, sowie die YouTube-Watch-History von Chrome für iOS.

„Wir zeigen, wie ein Angreifer Safari dazu bringen kann, eine beliebige Webseite darzustellen, und anschließend sensible Informationen, die darin vorhanden sind, mithilfe spekulativer Ausführung wiederherzustellen“, schrieben die Forscher auf einer Informationswebsite.

„Insbesondere demonstrieren wir, wie Safari einer bösartigen Webseite erlaubt, Geheimnisse von beliebten, wertvollen Zielen wie dem Inhalt des Gmail-Posteingangs wiederherzustellen. Schließlich demonstrieren wir die Wiederherstellung von Passwörtern, falls diese von Anmeldeverwaltungen automatisch ausgefüllt werden.“

Laut den Forschern hat der Fehler das Potenzial, alle Browser auf iOS zu betreffen, da Apples Richtlinie vorschreibt, dass alle Drittanbieter-iOS-Browser seine WebKit-Engine verwenden müssen. Glücklicherweise erfordert dieser Angriff durch spekulative Ausführung ein hohes Maß an technischem Wissen, weshalb er für Cyberkriminelle nicht attraktiv ist.

Apple wurde am 12. September 2022 von den Forschern über die Schwachstelle informiert. Seitdem hat das Unternehmen nur eine manuelle Minderungsmaßnahme für macOS implementiert, um die Benutzer zu schützen, sagt das Team. Außerdem funktioniert die Minderungsmaßnahme nur auf Macs, wenn Safari ausgeführt wird.

Apple sagt, es sei sich der Schwachstelle bewusst und versichert, dass eine dauerhaftere Lösung in einer zukünftigen Softwareversion enthalten sein wird. Sie können die iLeakage-Seite besuchen, um Anweisungen zur Aktivierung der Minderungsmaßnahme zu erhalten.

„Wenn Apple die Minderungsmaßnahme in die Produktion bringt, erwarten wir, dass sie die Benutzer vollständig vor unserem Angriff schützt“, fügte Jason Kim, ein Doktorand am Georgia Tech, der im Team gearbeitet hat, hinzu.

„Wir haben von Apple nichts gehört, wie sich ihre Minderungsmaßnahmen auf die Leistungsbenchmarks ihres Browsers auswirken oder wann die Minderungsmaßnahmen an die Kunden verteilt werden.“