18. Juni 2015

XARA-Sicherheitslücke – Keine Panik für iOS

Security

Seit Mittwochabend verbreitet sich in den Medien die Meldung zu den sogenannten XARA-Sicherheitslücken in den Apple-Betriebssystemen OS X und iOS. Ursprung der Berichterstattung ist ein Report von sechs IT-Security-Wissenschaftlern. Das geschilderte Problem, also die Möglichkeit zum Auslesen sicherheitsrelevanter Daten wie Passwörter, ist definitiv vorhanden, doch gibt es aus iOS-Sicht keinen Grund in Panik zu verfallen. In den Medienberichten werden derzeit OS X, das Betriebssystem für Macs, und iOS, das Betriebssystem für iPhones und iPads, wild vermischt. Deswegen möchten wir an dieser Stelle das Problem aus der Perspektive von iOS analysieren.

Die Autoren beschreiben in ihrem Report eindeutig, dass die Services Schlüsselbund, WebSocket und Sandbox ausschließlich unter OS X betroffen sind. Lediglich die Informationsweitergabe via URL Schemes ist sowohl bei OS X als auch bei der mobilen Schwester iOS betroffen. Der Grund für die XARA-Sicherheitslücke ist also der ungeschützte Informationsaustausch zwischen Apps. iOS ist hier im Vergleich mit OS X wesentlich sicherer, da es fast alle der betroffenen Schnittstellen gar nicht unterstützt.

Was bedeutet das für Entwickler und Eigentümer von iOS Apps?

iOS-Apps sind von den berichteten Lücken in genau einem Szenario betroffen: Wenn sie Kommunikations-Tokens, wie beispielsweise aus OAuth-Prozessen, oder andere kritische Informationen über einen URL-Handler an andere Prozesse übertragen oder empfangen. Aber: Diese Schnittstelle sollte ohnehin nicht zum Transport sicherheitsrelevanter Daten genutzt werden und dies ist auch schon länger bekannt. Sollten Entwickler diesen Weg in einer App gewählt haben, sollten sie das schnellstmöglich und ein für alle mal beheben.

Alle anderen Angriffsszenarien betreffen ausschließlich OS X und erfordern eine App im App Store. Die Publisher solcher Malware-Apps wurden mutmaßlich selbst gehackt – ein Cyberkrimineller wäre nicht so dumm die Spur direkt zu sich selbst zu legen. Das ist für alle Mac-Nutzer ausgesprochen unschön. Bis das Thema in den APIs adressiert ist, ist Vorsicht bei der Installation von obskuren Apps aus dem App Store geboten! Das wird dauern, da die zugrundeliegenden Probleme nicht simpel zu beheben sind!

Pressekontakt

Tobias Oberndorfer press@intive.com
+49 151 414 616 73

Social Media

Alle unsere News findet Ihr auch auf unseren Social Media Kanälen: