Schwerwiegender Apple Zero-Day-Sicherheitsfehler legt sowohl Keychain- als auch App-Passwörter für Angreifer offen

TL;DR – Sicherheitsforscher entdecken einen schwerwiegenden Zero-Day-Exploits in Mac OS X und iOS, der ausgenutzt werden kann, um App-Daten, Passwörter und verschiedene andere Anmeldeinformationen zu stehlen.

Eine Gruppe von sechs Sicherheitsforschern der Indiana University und des Georgia Institute of Technology hat einen schwerwiegenden Apple Zero-Day-Sicherheitsfehler sowohl in iOS als auch in Mac OS X gefunden, der es Malware ermöglicht, unbefugten Zugriff auf die Anmeldeinformationen der Apps des Geräts zu erlangen, wodurch Angreifer die sensiblen Daten der Benutzer wie iCloud-Passwörter, Mail-App und alle Web-Passwörter, die von Google Chrome gespeichert werden, stehlen können. Kurz gesagt, dieser Exploit wird direkt die Keychain von Apple und andere Apps, einschließlich der von Drittanbietern, offenlegen.

Dieser Fehler wurde von Apple, Google Chrome und anderen bestätigt.

Die Forschung wurde in einem Papier mit dem Titel Unbefugter Zugriff auf Ressourcen zwischen Apps auf MAC OS X und iOS veröffentlicht. Die beteiligten Forscher waren: Xing; Xiaolong Bai; XiaoFeng Wang; und Kai Chen, die sich Tongxin Li von der Peking-Universität und Xiaojing Liao vom Georgia Institute of Technology anschlossen.

Im Gespräch mit der Sicherheitsredaktion von The Register erwähnte das Team, dass sie diese Schwachstelle Apple im Oktober 2014 zur Kenntnis gebracht hatten. Damals sagte Apple, dass es versteht, wie ernst dieser Exploit ist, und bat das Team um einen Zeitraum von sechs Monaten, in dem sie dieses Problem angehen und eine Lösung anbieten würden. Apple bat die Forscher auch, diese Schwachstelle nicht öffentlich bekannt zu geben, bis sie dieses Problem behoben hatten.

Im Februar 2015 bat Apple das Team, ihnen eine Vorabkopie ihres Forschungspapiers zur Verfügung zu stellen. Leider hat das Forschungsteam bestätigt, dass die Schwachstellen auch in den neuesten Versionen von Mac OS X und iOS vorhanden sind, und daher mussten sie diese Schwachstelle öffentlich machen.

Xing sagte: „Wir haben den Keychain-Dienst vollständig geknackt – der verwendet wird, um Passwörter und andere Anmeldeinformationen für verschiedene Apple-Apps zu speichern – und Sandbox-Container auf OS X, und haben auch neue Schwächen innerhalb der Inter-App-Kommunikationsmechanismen auf OS X und iOS identifiziert, die verwendet werden können, um vertrauliche Daten von Evernote, Facebook und anderen hochkarätigen Apps zu stehlen.“

Xing fügte hinzu: „Unsere bösartigen Apps haben den Prüfprozess von Apple erfolgreich durchlaufen und wurden im Mac App Store und im iOS App Store veröffentlicht. Wir haben den Keychain-Dienst vollständig geknackt – der verwendet wird, um Passwörter und andere Anmeldeinformationen für verschiedene Apple-Apps zu speichern – und Sandbox-Container auf OS X, und haben auch neue Schwächen innerhalb der Inter-App-Kommunikationsmechanismen auf OS X und iOS identifiziert, die verwendet werden können, um vertrauliche Daten von Evernote, Facebook und anderen hochkarätigen Apps zu stehlen.“

Das Forschungsteam erwähnte außerdem, dass sie trotz der strengen Prüfung durch Apple Malware hochladen konnten, die die Schwachstellen in den Mac OS X- und iOS-App-Stores ausnutzte. Es scheint, dass diese Apps, die anfällig für Angriffe waren, für beide Betriebssysteme genehmigt wurden.

Die Gruppe testete den Exploit auch an einer Vielzahl von Mac- und iOS-Apps, und das Ergebnis war erschreckend, da es zeigte, dass fast 90 % der Apps anfällig waren und der Malware vollständigen Zugriff gewährten, nicht nur in Bezug auf die gespeicherten Daten, sondern auch auf die Anmeldeinformationen.

Der Entwickler der 1Password-App, AgileBits, gab zu, dass er keinen Weg finden konnte, die App gegen den Exploit zu schützen. Ein aktueller Blogbeitrag von AgileBits Jeffrey Goldberg besagt: „Weder wir noch Luyi Xing und sein Team konnten einen völlig zuverlässigen Weg finden, um dieses Problem zu lösen.“

Laut der Sicherheitsforschungsgruppe war Googles Chromium-Sicherheitsteam reaktionsschneller und sie entfernten die Keychain-Integration für Chrome. Das Sicherheitsteam von Google Chrome bestätigte auch, dass es nahezu unmöglich wäre, sich gegen den Exploit zu schützen, wenn der Angriff auf Anwendungsebene erfolgt.

Die Sicherheitsforschungsgruppe veröffentlichte außerdem ein Video, das die Keychain-Schwachstelle von Google Chrome auf OS X aufdeckte. (siehe das Video unten)

Als Antwort auf den Beitrag von The Register schlägt einer der Kommentare auf Hacker News vor, dass, obwohl die Malware nicht direkt auf die vorhandenen Keychain-Einträge zugreifen kann, sie die Benutzer jedoch zwingen kann, sich manuell anzumelden und dann die sensiblen Anmeldeinformationen in einem neu erstellten Eintrag zu erfassen, wodurch sie indirekt unbefugten Zugriff auf die sensiblen Daten der Benutzer erhalten.

Die Sicherheitsforscher sagten außerdem: „Keychain-Elemente haben Zugriffskontrolllisten, in denen sie Anwendungen auf die Whitelist setzen können, normalerweise nur sich selbst. Wenn meine Banking-App ein Keychain-Element erstellt, hat Malware keinen Zugriff. Aber Malware kann Keychain-Elemente löschen und neu erstellen und sowohl sich selbst als auch die Banking-App zur ACL hinzufügen. Das nächste Mal, wenn die Banking-App Anmeldeinformationen benötigt, wird sie mich auffordern, sie erneut einzugeben, und dann in dem von der Malware erstellten Keychain-Element speichern.“

Die Sicherheitsforscher warnen alle Mac OS X- und iOS-Benutzer, vorsichtiger zu sein, wann immer sie Apps von unbekannten Entwicklern herunterladen, sei es aus den iOS- und Mac-App-Stores. Darüber hinaus sollte in Fällen, in denen eine Anmeldung über die Keychain erforderlich ist und das System die Benutzer weiterhin auffordert, sich manuell anzumelden, dies ein Alarmzeichen sein und die Benutzer darauf hinweisen, dass etwas mit dem System nicht stimmt.

Anfang dieses Monats wurde eine Mac BIOS/EFI-Schwachstelle aufgedeckt, bei der der Exploit dem Angreifer dauerhaften Zugriff auf einen Mac gewähren würde, und eine Neuformatierung des Laufwerks würde dem Benutzer auch nicht helfen, den Angreifer daran zu hindern, auf den Mac zuzugreifen und ihn zu kontrollieren.

Eine weitere in diesem Monat entdeckte Schwachstelle war ein Fehler in der iOS-Mail-App, der wahrscheinlich ein Phishing-Angriff sein könnte, bei dem ein Angreifer einen Remote-HTML-Code ausführen würde, wann immer der Benutzer eine E-Mail öffnet, und mit diesem Code könnte der Angreifer eine iCloud-Anmeldeaufforderung imitieren, wodurch die Benutzer gezwungen werden, ihre Apple-ID-Anmeldeinformationen anzugeben.

Sicherheitsforscher sagen, dass es als Faustregel wichtig ist, dass Benutzer niemals ihren Browser oder einen Passwortmanager zulassen sollten, sensible Anmeldungen wie Online-Banking-Anmeldeinformationen zu speichern.

Die Sicherheitsforscher erwähnen außerdem: „Die Folgen solcher Angriffe sind verheerend und führen zur vollständigen Offenlegung der sensibelsten Benutzerinformationen (z. B. Passwörter) an eine bösartige App, selbst wenn sie sandboxed ist. Solche Erkenntnisse […] sind nur die Spitze des Eisbergs.“

In ihrem Papier haben die Forscher erwähnt: „Wenn wir die Ursachen dieser Sicherheitsfehler untersuchen, haben wir festgestellt, dass in den meisten Fällen weder das Betriebssystem noch die anfällige App die Partei, mit der sie interagiert, ordnungsgemäß authentifiziert. Grundsätzlich ergibt sich das Problem aus der Herausforderung für eine App, den Eigentümer eines vorhandenen Keychain-Elements zu authentifizieren. Apple bietet keinen bequemen Weg, dies zu tun.