17. Juni 2015

Robert Tusch

Sicherheitslücke: iOS/OS X anfällig für Passwort-Diebstahl

Wie Forscher der Indiana Universität in Peking herausgefunden haben, ist Apples Passwortmanagement in iOS und OS X offenbar hoch anfällig für Attacken. Cupertino scheint den Fehler jedoch zu ignorieren.

Schenkt man dem Bericht der Seite The Register Glauben – und dazu gibt es momentan guten Grund – so ist es nahezu jedem App-Entwickler mit einer komplexen, aber nachstellbaren Software möglich, Passwörter aus dem iCloud Schlüsselbund, der nativen Mail-App und über die Sandbox aus allen installierten Apps inklusive 1Password und Google Chrome zu ziehen.

shutterstock_251113558

Um dies zu beweisen, schleusten die Forscher Ende des letzten Jahres selbst eine Malware über eine App in den App Store, durchdrangen damit den Bestätigungsprozess von Apple und hatten am Ende eine ganze Reihe Passwörter unbeteiligter Nutzer in der Hand.

Six university researchers have revealed deadly zero-day flaws in Apple’s iOS and OS X, claiming it is possible to crack Apple’s keychain, break app sandboxes and bypass its App Store security checks so that attackers can steal passwords from any installed app including the native email client without being detected.

Im Oktober 2014 hat die Universität Apple bereits über die Sicherheitslücke unterrichtet, die offenbar sowohl in iOS als auch in OS X nachzuweisen war. Cupertinos Sicherheitsbeauftragter hat daraufhin um sechs Monate Zeit gebeten, um den Vorfall zu untersuchen. Die Lücken sind bis jetzt aber nicht geschlossen, weshalb die Untersuchungen offengelegt wurden. Den App Entwicklern steht momentan keine Möglichkeit zur Verfügung, den potenziellen Passwort-Diebstahl zu unterbinden.

[Bild: ShutterstockMarco Scisetti]

Wie aus Google Chrome ein Passwort gestohlen wird

https://www.youtube.com/watch?v=IYZkAIIzsIo

Weitere Artikel

Entwickler bringen eigenständige Spiele auf die Apple Watch

Philips Hue: Starterkit (E27) bei Amazon und Cyberport reduziert

34 Gedanken zu „Sicherheitslücke: iOS/OS X anfällig für Passwort-Diebstahl“

  2. Sechs Monate um zu prüfen? Das bedeutet soviel wie „hoffentlich vergisst der Typ es wieder und nervt mich damit nicht mehr“. Solche extrem wichtigen Dinge gehören für mich umgehend geprüft und korrigiert.
  3. ….. Lastpass (gelöscht) …… Schlüsselbund (gelöscht) …………………… wie sicher sind die iPhones wirklich???????
    • Also dein Handy das du vor dem iPhone hattest, hatte auch ne Sim-Karte? Alle Sim sind kodiert so das es eh möglich ist alle Infos zu ziehen die man will. Aber wir sind ja Personen des öffentlichen Interesses, deswegen ist es wichtig das niemand an unsere Daten kommt, man könnte sie ja verkaufen. Und wen ein Hacker bei mir Geld klaut ist das durch die Bank versichert und ich bekomme alles zurück;)) Ich verstehe einfach nicht wieso das ihr in Deutschland so tut wegen Privatsphäre, wir sind schon seid Minimum 15 Jahre total gläsernd, und dagegen kann man eh nichts machen, weil alles im Namen des Terrorismus passiert
    • Alex hier, von AgileBits. Ja, 1Password ist auch potentiell von diesem Problem betroffen. Jedoch kann ein Angreifer keinen Zugriff auf die 1Password-Datenbank erlangen. Unter bestimmten Umständen ist es möglich die Kommunikation zwischen 1Password und den 1Password Browser-Erweiterungen abzufangen und damit übertragene Zugangsdaten auszulesen. In unserem Blog äußert sich unser Sicherheitsexperte Jeff Goldberg ausführlich die Sicherheitsrisiken bei Kommunikation zwischen Programmen, die XARA-Attacke, und 1Password mini: LINK Für weitere Fragen stehe ich gerne zur Verfügung. Grüße, Alex – – – Bearded Vulcan Support Technician @Agilebits Webseite: https://agilebits.com Forum: https://discussions.agilebits.com
  7. IOS ist normal ja eig. Das sicherste Betriebssystem. Ich denke mal, dass da schon etwas gemacht wird, da sich Apple den ruf sicher nicht versauen will ;)
    • Dazu hatte Apple allerdings bereits mehr als 6 Monate Gelegenheit. Ich bin ehrlich entsetzt, dass hier keine Abhilfe geschaffen wurde.
  8. wenn die niemanden warnen und es dann zum Schadensfall kommt, wer ist haftbar? Lustig wenn alle iOS User dann Klage erheben würden.
  9. Wie soll das über 1Paasword funktionieren? Da müsste die App selber 1Password benutzen, aber dann kommt sie doch eigentlich nicht an alle dort gespeicherten Passwörter ran. Merkwürdig.
  10. Da es nun öffentlich wurde, wird es sicherlich in den nächsten Wochen/Monaten gepatcht.. In solchen Fällen muss Apple aber schneller reagieren und wenn sie schon auf Lücken hingewiesen werden, diese auch schließen.
  11. „Die“ phone sind dafür gemacht möglichst viel auf einfachem Wege über uns zu erfahren. Ich möchte nicht wissen wie oft das Mic und die Front Cam (bei mir abgeklebt) aktiv sind. … Nach dem WIRE update ist mir zb aufgefallen dass Wire meine Kontakte liest OBWOHL ich dies unter Datenschutz ausgeschaltet habe. Kontrolliert und int anscheinend überhaupt niemanden … Ähnlich wird es sich mit Ortung, Hintergrundaktualisierung, Kamerazugriff usw verhalten. Entwickler Wie A, M, O usw bekommen sehr sehr viel Unter$tützung von gaaaanz oben. „Vielen dank für die Zusammenarbeit“ :)
    • Häufiger taucht der Begriff jedoch in seiner adjektivischen Form paranoid auf, der auf Verfolgungsängste oder Verfolgungswahn hinweist. Die Betroffenen leiden an einer verzerrten Wahrnehmung ihrer Umgebung in Richtung auf eine feindselige (im Extrem bösartig verfolgende) Haltung ihrer Person gegenüber. Die Folgen reichen über ängstliches oder aggressives Misstrauen bis hin zur Überzeugung von einer Verschwörung anderer gegen sich. (Wikipedia)
      • Hat nichts mit Verschw zu tun eher mit Verblendung … Ach stimmt du bekommt ein paar armselige anworten auf deine Fragen im Netz … Die bekommen 5000eur das persönliche Profil des User. Einfach mal weg von der Spielkonsole und Augen öffnen !!!
    • Völliger Quatsch! Du hast deinen Rechner ja meistens zu Hause und dort wirst du ja wohl auch mal nackt sein, oder? Bist du auch nackt auf der Straße?
    • Nein da sehe ich ja die Verkehrskamera oder die Cam in der Stadt … Damit habe ich kein Problem … Aber nicht im stillen !!!
  13. Angelo Laub hatte schon vor über 10 Jahren auf dem 21C3 darauf hingewiesen, dass das Schlüsselbund eine potenzielle Gefahrenquelle ist. @Steffi: Das Schlüsselbund-Dienstprogramm einfach zu löschen, bringt überhaupt nichts, denn es ist letztlich nur ein GUI für die darunter liegenden UNIX-Befehle wie z.B. „security“. security — Command line interface to keychains and Security framework Habe mir das Paper jetzt noch nicht im Detail angesehen, aber da sind mit Sicherheit gleich mehrere Schwachstellen in OS X und iOS vorhanden – allein ein „Sandboxing-Ausbruch“ ist das nicht, sondern weitaus schlimmer.
  14. Na wenn das nicht mal gewollte ‚Lücken‘ sind. 6 Monate Zeit zum ‚untersuchen‘ :)) Die Brüller-schlagzeile/Aussage schlecht hin.
  15. die verarschen euch alle, aber komplett! und ihr glaubt wirklich noch daran, dass mit dem nächsten 800€ bis 3500€-gerät und/oder dem nächsten betriebssystem alles gefixt is… puuuhh!
  17. und dank dieser Medung hat unsere IT Beschlossen alles auf Android umzustellen! Denkbar schlechter Zeitpunkt. Ich halte Android im Vergleich zu iOS für erheblich anfälliger was die Sicherheit betrifft. Naja dann gibt’s das iPhone eben nur noch privat :-/
    • Von Kompetenz und Weitsichtig kann ja dann in dem Laden nicht die Rede sein, nächste Woche geht dann wohl alles wieder rückwärts. Ist scheinbar ne Trinkhalle der Laden.

Die Kommentare sind geschlossen.