Apple überprüft alle Apps die in den AppStore für Mac und iOS zugelassen werden. Trotzdem gelang es sechs Sicherheitsforschern Apps mit bösartigem Code in den AppStore zu schleusen. Die Applikationen enthielten einen Code welcher es ermöglichte Passwörter aus dem Mac Schlüsselbund auszulesen. Nachdem die Apps im AppStore freigeschaltet worden waren, haben die Entwickler der Apps diese wieder zurückgezogen.
Der Fehler wurde Apple Ende 2014 gemeldet. Apple hat nun daran gearbeitet das Problem zu beheben. In den OS X Versionen 10.10.3 und 10.10.4 wurden entsprechende Schutzmassnahmen integriert, diese lassen sich aber umgehen.
Was passiert in OS X
Das Problem liegt bei Kommunikationsdiensten die Apps untereinander nutzen. So kann die App tatsächlich auf den Schlüsselbund zugreifen und dort das iCloud Passwort auslesen. Auch andere Apps sind betroffen. heise.de schreibt:
Neben dem Schlüsselbundangriff sind manipulierte Apps unter OS X angeblich auch fähig, die Sandbox anderer Programme zu knacken und sensitive Daten auszulesen – so sei es beispielsweise möglich, Kontaktdaten und Notizen aus Evernote zu entwenden.
Aber auch das beliebte Programm zur Passwortverwaltung 1Passwort war davon betroffen. Hierfür nutzen sie die Browsererweiterung welche für Safari, Firefox und Chrome zur Verfügung steht.
Das passiert unter iOS
Apps können in iOS über “URL-Schemes” untereinander kommunizieren, bzw. Daten weitergeben. Probiere es aus: du kannst in Safari “facetime://user@example.com” eingeben, bestätigen und schon wird der Anruf gestartet. Twitter-User können mit “twitter://messages” direkt in die Nachrichten der Twitter-App wechseln.
Das funktioniert auch ohne eine Bestätigung durch den Nutzer. Jede App kann für sich URL-Schemes definieren, über welche sie ansprechbar sind. Mehrere Apps können die gleiche “Adresse” für sich nutzen. iOS leitet dann automatisch an die App weiter, die diese für sich als letzte registriert hat. Eine neue schadhafte App kann so die URL-Schemes anderer Apps für sich nutzen und Daten wie Passwörter oder Kontaktangaben abfangen.
Apple muss nachbessern
heise.de schildert eine Studie in der über 1600 iOS und Mac-App überprüft worden seien. Mehr als 88% sind für mindestens eine der Sicherheitslücke anfällig. Das bedeutet nicht, dass Apps diese Lücke ausnützen und deine Daten nun in Gefahr sind.
Ein Teil der Sicherheitslücke kann nur auf Systemebene durch Apple behoben werden. Aber auch die Entwickler von Apps müssen aufpassen mit welchen Apps die eigene interagieren kann.