Sicherheitslücke: iOS/OS X anfällig für Passwort-Diebstahl

Wie Forscher der Indiana Universität in Peking herausgefunden haben, ist Apples Passwortmanagement in iOS und OS X offenbar hoch anfällig für Attacken. Cupertino scheint den Fehler jedoch zu ignorieren.

Schenkt man dem Bericht der Seite The Register Glauben – und dazu gibt es momentan guten Grund – so ist es nahezu jedem App-Entwickler mit einer komplexen, aber nachstellbaren Software möglich, Passwörter aus dem iCloud Schlüsselbund, der nativen Mail-App und über die Sandbox aus allen installierten Apps inklusive 1Password und Google Chrome zu ziehen.

shutterstock_251113558

Um dies zu beweisen, schleusten die Forscher Ende des letzten Jahres selbst eine Malware über eine App in den App Store, durchdrangen damit den Bestätigungsprozess von Apple und hatten am Ende eine ganze Reihe Passwörter unbeteiligter Nutzer in der Hand.

Six university researchers have revealed deadly zero-day flaws in Apple's iOS and OS X, claiming it is possible to crack Apple's keychain, break app sandboxes and bypass its App Store security checks so that attackers can steal passwords from any installed app including the native email client without being detected.

Im Oktober 2014 hat die Universität Apple bereits über die Sicherheitslücke unterrichtet, die offenbar sowohl in iOS als auch in OS X nachzuweisen war. Cupertinos Sicherheitsbeauftragter hat daraufhin um sechs Monate Zeit gebeten, um den Vorfall zu untersuchen. Die Lücken sind bis jetzt aber nicht geschlossen, weshalb die Untersuchungen offengelegt wurden. Den App Entwicklern steht momentan keine Möglichkeit zur Verfügung, den potenziellen Passwort-Diebstahl zu unterbinden.

[Bild: ShutterstockMarco Scisetti]

Wie aus Google Chrome ein Passwort gestohlen wird

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!

Gefällt Dir der Artikel?

Robert Tusch
twitter Google app.net mail

34 Kommentare zu dem Artikel "Sicherheitslücke: iOS/OS X anfällig für Passwort-Diebstahl"

  1. Nicolai 17. Juni 2015 um 13:43 Uhr ·
    Krass
    iLike 13
  2. Ichbleibich 17. Juni 2015 um 13:46 Uhr ·
    Sechs Monate um zu prüfen? Das bedeutet soviel wie „hoffentlich vergisst der Typ es wieder und nervt mich damit nicht mehr“. Solche extrem wichtigen Dinge gehören für mich umgehend geprüft und korrigiert.
    iLike 42
    • RS 17. Juni 2015 um 15:25 Uhr ·
      Klar ich geh dann einfach in Zeile 17 des OS und füge ein: Passwort.sicherheitslücke = false;
      iLike 15
      • DiscuStu 17. Juni 2015 um 17:22 Uhr ·
        lol
        iLike 2
  3. steffi 17. Juni 2015 um 13:54 Uhr ·
    ….. Lastpass (gelöscht) …… Schlüsselbund (gelöscht) …………………… wie sicher sind die iPhones wirklich???????
    iLike 7
    • Fischer5182 17. Juni 2015 um 14:16 Uhr ·
      Alles was mit dem Internet „verbunden“ ist, ist auch unsicher!
      iLike 20
  4. steffi 17. Juni 2015 um 13:55 Uhr ·
    ….. Wieder alle Passwörter neu machen:-(
    iLike 1
    • Mike 17. Juni 2015 um 13:56 Uhr ·
      Noch ist doch nichts passiert
      iLike 2
      • steffi 17. Juni 2015 um 14:01 Uhr ·
        meinst Du. Glaube nicht das damit ein Hacker hausieren geht.
        iLike 2
    • DrQJr 17. Juni 2015 um 15:13 Uhr ·
      Also dein Handy das du vor dem iPhone hattest, hatte auch ne Sim-Karte? Alle Sim sind kodiert so das es eh möglich ist alle Infos zu ziehen die man will. Aber wir sind ja Personen des öffentlichen Interesses, deswegen ist es wichtig das niemand an unsere Daten kommt, man könnte sie ja verkaufen. Und wen ein Hacker bei mir Geld klaut ist das durch die Bank versichert und ich bekomme alles zurück;)) Ich verstehe einfach nicht wieso das ihr in Deutschland so tut wegen Privatsphäre, wir sind schon seid Minimum 15 Jahre total gläsernd, und dagegen kann man eh nichts machen, weil alles im Namen des Terrorismus passiert
      iLike 0
    • RS 17. Juni 2015 um 15:45 Uhr ·
      Bringt nichts solange die Lücke noch besteht.
      iLike 1
  5. Appler 17. Juni 2015 um 14:03 Uhr ·
    1Password auch??!!
    iLike 2
    • Mike 17. Juni 2015 um 14:04 Uhr ·
      Ja, da alle Apps das Sandboxing nutzen. Und das wurde jetzt eben umgangen. Bzw. das kann umgangen werden
      iLike 0
    • Alex 18. Juni 2015 um 00:00 Uhr ·
      Alex hier, von AgileBits. Ja, 1Password ist auch potentiell von diesem Problem betroffen. Jedoch kann ein Angreifer keinen Zugriff auf die 1Password-Datenbank erlangen. Unter bestimmten Umständen ist es möglich die Kommunikation zwischen 1Password und den 1Password Browser-Erweiterungen abzufangen und damit übertragene Zugangsdaten auszulesen. In unserem Blog äußert sich unser Sicherheitsexperte Jeff Goldberg ausführlich die Sicherheitsrisiken bei Kommunikation zwischen Programmen, die XARA-Attacke, und 1Password mini: LINK Für weitere Fragen stehe ich gerne zur Verfügung. Grüße, Alex – – – Bearded Vulcan Support Technician @Agilebits Webseite: https://agilebits.com Forum: https://discussions.agilebits.com
      iLike 5
  6. Tycoon 17. Juni 2015 um 14:05 Uhr ·
    da erwachen die Gläubigen und merken das sie doch nur Schafe sind
    iLike 15
    • RS 17. Juni 2015 um 15:54 Uhr ·
      Wow. Was für ein Schwachsinn.
      iLike 7
  7. Timo 17. Juni 2015 um 14:21 Uhr ·
    IOS ist normal ja eig. Das sicherste Betriebssystem. Ich denke mal, dass da schon etwas gemacht wird, da sich Apple den ruf sicher nicht versauen will ;)
    iLike 6
    • Thomas 17. Juni 2015 um 17:57 Uhr ·
      Dazu hatte Apple allerdings bereits mehr als 6 Monate Gelegenheit. Ich bin ehrlich entsetzt, dass hier keine Abhilfe geschaffen wurde.
      iLike 4
  8. steffi 17. Juni 2015 um 14:40 Uhr ·
    wenn die niemanden warnen und es dann zum Schadensfall kommt, wer ist haftbar? Lustig wenn alle iOS User dann Klage erheben würden.
    iLike 5
  9. o.wunder 17. Juni 2015 um 14:43 Uhr ·
    Wie soll das über 1Paasword funktionieren? Da müsste die App selber 1Password benutzen, aber dann kommt sie doch eigentlich nicht an alle dort gespeicherten Passwörter ran. Merkwürdig.
    iLike 0
  10. Nighty 17. Juni 2015 um 14:45 Uhr ·
    Da es nun öffentlich wurde, wird es sicherlich in den nächsten Wochen/Monaten gepatcht.. In solchen Fällen muss Apple aber schneller reagieren und wenn sie schon auf Lücken hingewiesen werden, diese auch schließen.
    iLike 2
  11. Koala 17. Juni 2015 um 14:51 Uhr ·
    „Die“ phone sind dafür gemacht möglichst viel auf einfachem Wege über uns zu erfahren. Ich möchte nicht wissen wie oft das Mic und die Front Cam (bei mir abgeklebt) aktiv sind. … Nach dem WIRE update ist mir zb aufgefallen dass Wire meine Kontakte liest OBWOHL ich dies unter Datenschutz ausgeschaltet habe. Kontrolliert und int anscheinend überhaupt niemanden … Ähnlich wird es sich mit Ortung, Hintergrundaktualisierung, Kamerazugriff usw verhalten. Entwickler Wie A, M, O usw bekommen sehr sehr viel Unter$tützung von gaaaanz oben. „Vielen dank für die Zusammenarbeit“ :)
    iLike 3
    • RS 17. Juni 2015 um 16:06 Uhr ·
      Häufiger taucht der Begriff jedoch in seiner adjektivischen Form paranoid auf, der auf Verfolgungsängste oder Verfolgungswahn hinweist. Die Betroffenen leiden an einer verzerrten Wahrnehmung ihrer Umgebung in Richtung auf eine feindselige (im Extrem bösartig verfolgende) Haltung ihrer Person gegenüber. Die Folgen reichen über ängstliches oder aggressives Misstrauen bis hin zur Überzeugung von einer Verschwörung anderer gegen sich. (Wikipedia)
      iLike 9
      • Koala 17. Juni 2015 um 17:24 Uhr ·
        Hat nichts mit Verschw zu tun eher mit Verblendung … Ach stimmt du bekommt ein paar armselige anworten auf deine Fragen im Netz … Die bekommen 5000eur das persönliche Profil des User. Einfach mal weg von der Spielkonsole und Augen öffnen !!!
        iLike 0
  12. kgs 17. Juni 2015 um 15:08 Uhr ·
    wer seine Kamera anklebt, sollte auch in der Öffentlichkeit maskiert rumlaufen.
    iLike 5
    •  Gurdjieff 17. Juni 2015 um 15:15 Uhr ·
      Völliger Quatsch! Du hast deinen Rechner ja meistens zu Hause und dort wirst du ja wohl auch mal nackt sein, oder? Bist du auch nackt auf der Straße?
      iLike 5
    • Koala 17. Juni 2015 um 17:25 Uhr ·
      Nein da sehe ich ja die Verkehrskamera oder die Cam in der Stadt … Damit habe ich kein Problem … Aber nicht im stillen !!!
      iLike 1
  13. Marcel 17. Juni 2015 um 15:14 Uhr ·
    Angelo Laub hatte schon vor über 10 Jahren auf dem 21C3 darauf hingewiesen, dass das Schlüsselbund eine potenzielle Gefahrenquelle ist. @Steffi: Das Schlüsselbund-Dienstprogramm einfach zu löschen, bringt überhaupt nichts, denn es ist letztlich nur ein GUI für die darunter liegenden UNIX-Befehle wie z.B. „security“. security — Command line interface to keychains and Security framework Habe mir das Paper jetzt noch nicht im Detail angesehen, aber da sind mit Sicherheit gleich mehrere Schwachstellen in OS X und iOS vorhanden – allein ein „Sandboxing-Ausbruch“ ist das nicht, sondern weitaus schlimmer.
    iLike 0
  14. Halb&Halb 17. Juni 2015 um 15:26 Uhr ·
    Na wenn das nicht mal gewollte ‚Lücken‘ sind. 6 Monate Zeit zum ‚untersuchen‘ :)) Die Brüller-schlagzeile/Aussage schlecht hin.
    iLike 4
  15. oldschool 17. Juni 2015 um 20:21 Uhr ·
    die verarschen euch alle, aber komplett! und ihr glaubt wirklich noch daran, dass mit dem nächsten 800€ bis 3500€-gerät und/oder dem nächsten betriebssystem alles gefixt is… puuuhh!
    iLike 0
  16. inu 17. Juni 2015 um 21:39 Uhr ·
    Wird mein Paßwort wegen dieses Bugs gestohlen, erhält Apple Post – von meinem Anwalt.
    iLike 0
    • kgs 18. Juni 2015 um 14:30 Uhr ·
      witzbold
      iLike 0
  17. smoga1 18. Juni 2015 um 06:04 Uhr ·
    und dank dieser Medung hat unsere IT Beschlossen alles auf Android umzustellen! Denkbar schlechter Zeitpunkt. Ich halte Android im Vergleich zu iOS für erheblich anfälliger was die Sicherheit betrifft. Naja dann gibt’s das iPhone eben nur noch privat :-/
    iLike 0
    • kgs 18. Juni 2015 um 14:35 Uhr ·
      Von Kompetenz und Weitsichtig kann ja dann in dem Laden nicht die Rede sein, nächste Woche geht dann wohl alles wieder rückwärts. Ist scheinbar ne Trinkhalle der Laden.
      iLike 0

Leider kann man keine Kommentare zu diesem Beitrag mehr schreiben.