Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Gefahr für Kennwörter im Schlüsselbund

Fast neun Monate ist es her, dass Apple von Sicherheitsforschern mehrerer Universitäten auf ein ernsthaftes Sicherheitsproblem in iOS und OS X hingewiesen wurde. Einer App kann es demnach gelingen, die Sandbox von iOS und OS X zu durchbrechen und die von anderen Apps gespeicherten Kennwörter auszulesen. Dies betrifft auch Kennwörter und Zugangsdaten, die über einen Browser im Schlüsselbund abgelegt werden.

So war es den Forschern gelungen, über ihre App die in Chrome gespeicherten Formularfelder zu einer Bank-Webseite auszulesen. Grundsätzlich sind aber auch alle anderen Apps wie 1Password, Mail, Evernote, Facebook und Dropbox betroffen. Google hat bereits Konsequenzen gezogen und in Chrome die Speicherung von Daten und Kennwörtern im Schlüsselbund deaktiviert.


Apple selbst bat zwar um Verschwiegenheit, verzichtete aber bislang auf eine entsprechende Sicherheitsaktualisierung. Im Februar bat Apple lediglich um eine Kopie des Forschungsberichts, der veröffentlicht werden sollte.

Bemerkenswert ist der Angriff, weil die App der Forscher den regulären Prüfprozess für den App Store erfolgreich durchlief. Apple ist möglicherweise also nicht in der Lage, der Angriff zu erkennen.


Erschwerend kommt noch hinzu, dass die Forscher auch grundsätzliche Schwachstellen in der Kommunikation zwischen Apps aufgedeckt haben, wodurch auch App-Daten unsicher sind. Von den 200 iOS- und 1.612 Mac-Apps waren den Forschern zufolge 88,6 Prozent über "cross-app resource access" (XARA) dank Cloud-Zugangsdaten und Scheme-Hijackung verwundbar. So ließen sich durch die eingeschleuste App beispielsweise synchronisierte Fotos von WeChat entwenden und bei Evernote ablegen.

Momentan ist nicht bekannt, wie sich Nutzer gegen einen solchen Angriff schützen können. Die strikte Beschränkung auf vertrauenswürdige Apps bekannter Hersteller - egal ob im App Store oder außerhalb - minimiert aber zumindest die Angriffsfläche. Genau diese Empfehlung hält auch Apple seit drei Jahren parat, nämlich in Form der Sicherheitsfunktion Gatekeeper.


Weiterführende Links:
macOS 15 Sequoia ist da – Apple hat den Startschuss gegeben
macOS 15 Sequoia ist da – Apple hat den Startsc...
iOS 18 sorgt für Probleme bei Mail-Servern
iOS 18 sorgt für Probleme bei Mail-Servern
macOS 15 Sequoia: Netzwerkprobleme und Verbindungsabbrüche sorgen für Frust
macOS 15 Sequoia: Netzwerkprobleme und Verbindu...
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "alles besser wird"
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "...
Gescheitert: iPhones von Robotern statt Arbeitern
Gescheitert: iPhones von Robotern statt Arbeite...
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?
iPhone 16 Pro in Einzelteilen – Details zum Aufbau und zum neuen Modem
iPhone 16 Pro in Einzelteilen – Details zum Auf...
iOS 18.1 veröffentlicht
iOS 18.1 veröffentlicht

Kommentare

Windwusel
Windwusel17.06.15 15:29
Nicht gut ... Allerdings verwende ich den Schlüsselbund ausschließlich für WLAN-Netzwerke und wenn mir diese Daten jemand entwenden würde, wäre das nicht so schlimm. Aber scheinbar kann das wohl nur jemand der physischen Kontakt mit meinem Computer hat oder eine manipulierte App und die verwende ich sowieso nicht.

Was mich aber eher stört ist das auch 1Passwort betroffen sein soll. Wie denn das? 1Password sichert die eigenen Daten doch in einem 256 Bit AES Container. Wenn den also jemand entwenden könnte, kann er sowieso nichts damit anfangen.
Meine Apple Geräte: MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 14 Pro Max, AirPods Pro (2. Gen), Apple TV 4K (2022) und HomePod mini (1. Gen)
0
Marcel_75@work
Marcel_75@work17.06.15 15:30
Angelo Laub hatte auf dem 21C3 bereits vor über 10 Jahren darauf hingewiesen, dass das Schlüsselbund-Dienstprogramm großes Gefahrenpotential birgt, hier gibt es auch noch einmal das gesamte Interview:



Nun haben wir es also - nicht nur eine einfache Malware oder ein Trojaner, sondern ein komplettes Versagen des Sicherheitskonzeptes von OS X und iOS, trotz Sandboxing, Gatekeeper und Co.

Windwusel: Weil das Sandboxing "broken" ist und dagegen auch die Macher von 1Password nichts machen können.

Aber da noch nicht einmal die rootpipe-Lücke in 10.10.3 (geschweige denn in 10.9 etc.) geschlossen wurde, wird man wohl auch hier lange auf einen fix warten dürfen.
0
subjore17.06.15 15:41
Windwusel

Manipulierte Apps verwende ich grundsätzlich auch nicht. Wer macht das schon. Wäre ja schön blöd. Also ist die Gefahr von Manipulierten Apps nicht besonders groß.
0
iMäck
iMäck17.06.15 15:56
Ich benutze den Schlüsselbund nur zum Speichern für Foren Accounts.

Alles andere was sensibel ist:
1Password mit Synchronisation ohne cloud.

Und software aus dubiosen Quellen wird nicht installiert.
0
nx-2000
nx-200017.06.15 16:06
hmmm...
Ich erlaube also per eindeutigem Klick den Zugriff auf das Passwort oder das Token.
Sorry für mich ist hier der User die Schwachstelle und nicht das System.
0
Windwusel
Windwusel17.06.15 16:13
Marcel_75@work
Windwusel: Weil das Sandboxing "broken" ist und dagegen auch die Macher von 1Password nichts machen können.

Aber da noch nicht einmal die rootpipe-Lücke in 10.10.3 (geschweige denn in 10.9 etc.) geschlossen wurde, wird man wohl auch hier lange auf einen fix warten dürfen.

Ja gut aber das ändert doch nichts an der Verschlüsselung von 1Password. Angreifer könnten doch nur an die verschlüsselten Daten kommen oder etwa nicht?
Meine Apple Geräte: MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 14 Pro Max, AirPods Pro (2. Gen), Apple TV 4K (2022) und HomePod mini (1. Gen)
0
Marcel_75@work
Marcel_75@work17.06.15 16:41
Windwusel
Ja gut aber das ändert doch nichts an der Verschlüsselung von 1Password. Angreifer könnten doch nur an die verschlüsselten Daten kommen oder etwa nicht?

Auszug aus dem Paper:

As an example, here we just elaborate our end-to-end attacks on three popular apps. We analyzed the 1Password app for OS X, which is one of the most popular password management apps and ranked 3rd by the Mac App Store.The app comes with a browser extension for each major browser that collects the passwords from the user’s web account and passes them to the app through a WebSocket connection. In our research, our sandboxed app created a local WebSocket server that took over the port 6263, before the 1Password app did, and was successfully connected to the password extension and downloaded the password whenever the user logged into her web account. We reported our findings to the 1Password security team, which acknowledged the gravity of this problem. This attack succeeded on OS X 10.10 (latest version when we reported the problem), against Chrome, Firefox and Safari. Our attack code passed the vetting process of the Mac App Store.

The attack demo is here:
0
steve.it17.06.15 16:46
Marcel_75@work
Aber da noch nicht einmal die rootpipe-Lücke in 10.10.3 (geschweige denn in 10.9 etc.) geschlossen wurde, wird man wohl auch hier lange auf einen fix warten dürfen.




"Rootpipe"-Lücke in OS X besteht offenbar weiter

0
MacBeck
MacBeck17.06.15 16:57
Nett, wie das hier in einer kleinen Meldung untergebracht wird, gleichzeitg aber ein riesiger Artikel zum eventuell möglichen iPhone 6S gefahren wird...

SPON

Xara-Schwächen in Mac OS X und iOS: Forscher zeigen gravierende Lücke in Apple-Systemen

Forschern zufolge weisen Apples Betriebssysteme OS X und iOS schwere Sicherheitslücken auf. Apple weiß angeblich seit sechs Monaten davon, doch die Lücken bestehen weiter. Die Forscher brachten sogar verseuchte Apps im App Store unter.
It is what it is - don't make it what it isn't.
0
senf_317.06.15 17:02
subjore
Windwusel

Manipulierte Apps verwende ich grundsätzlich auch nicht. Wer macht das schon. Wäre ja schön blöd. Also ist die Gefahr von Manipulierten Apps nicht besonders groß.

Schlaumeier. Wie erkennt man denn manipulierte Apps?
0
MacBeck
MacBeck17.06.15 17:06
senf_3
Schlaumeier. Wie erkennt man denn manipulierte Apps?

Fast gar nicht. Aber so kann man es sich schön reden, dass Apple hier großen Mist gebaut hat.
It is what it is - don't make it what it isn't.
0
Marcel_75@work
Marcel_75@work17.06.15 17:11
steve.it
Marcel_75@work
Aber da noch nicht einmal die rootpipe-Lücke in 10.10.3 (geschweige denn in 10.9 etc.) geschlossen wurde, wird man wohl auch hier lange auf einen fix warten dürfen.




"Rootpipe"-Lücke in OS X besteht offenbar weiter


Der rootpipe-Tester zeigt unter 10.10.3 an "alles ok" ... dem ist aber nicht so!



Denn mit nur wenigen Modifikationen des original Codes erlangt man immer noch root-Rechte:



Soviel zum "Apple hat es doch schon gepatcht, alles ist wieder gut" …
0
chessboard
chessboard17.06.15 17:12
Wenn ich das jetzt richtig verstehe, ist bei 1Password nur die Kommunikation zwischen 1Password und dem Browser (per Browser-Plug-In) betroffen.
Wenn man die Zugangsdaten aus 1Password per Copy/Paste in die entsprechenden Formularfelder im Browser überträgt, sollte die Möglichkeit des Ausschnüffelns nicht gegeben sein, richtig?
0
MacBeck
MacBeck17.06.15 17:16
chessboard:

SPON
Eigenen Angaben zufolge gelang es dem Team sogar, selbst entsprechende Apps zu entwickeln und diese trotz aller Sicherheitsmechanismen in Apples Softwareshops zu schmuggeln, und zwar in "sowohl den Mac als auch den iOS App Store".

Einmal installiert, hätten diese Apps es ermöglicht, "unautorisierten Zugriff auf sensible Daten anderer Apps zu erlangen, etwa Passwörter und Sicherheits-Tokens für iCloud, die Mail-App und alle Web-Passwörter, die in Google Chrome gespeichert sind", sagte Luyi Xing, der Erstautor der Studie, der britischen Fachpublikation "The Register".

Evernote, WeChat, 1Password, alle kompromittiert

Beispiele, die die Forscher teils sogar in eigens angefertigten Videos vorführen: Fotos wurden aus Konversationen mit dem Chatprogramm WeChat kopiert, ein Sicherheits-Token für die Notiz- und Speicher-App Evernote entwendet, mit dem sich die Angreifer Zugriff auf Inhalte verschaffen konnten.

Sogar Passwörter der populären Passwort-Manager-App 1Password habe man abfangen können. Mit einer eigens geschriebenen Software untersuchten die Forscher zudem andere Apps in Apples Softwareshops. 1612 Mac- und 200 iOS-Apps habe man geprüft, 88,6 Prozent davon seien den Angriffsversuchen "vollständig ausgesetzt" gewesen.

Das Problem liege in der Kommunikation zwischen dem Betriebssystem und einzelnen Apps beziehungsweise der Kommunikation von Apps untereinander begründet, so die Forscher. Für den sperrigen Begriff Cross-App Resource Access hat sich das Team den griffigeren Kurznamen Xara ausgedacht.

Xara-Sicherheitslücken, so heißt es in dem Fachartikel, seien "eine ernste Bedrohung für den Isolationsschutz von Apps in modernen Betriebssystemen". Die Lücken erlaubten Datenaustausch zwischen Apps auch dort, wo er eigentlich unterbunden werden sollte.
It is what it is - don't make it what it isn't.
0
Marcel_75@work
Marcel_75@work17.06.15 17:21
Und mal völlig unabhängig von der "rootpipe"-Lücke (bisher nicht geschlossen) und den nun bekannt gewordenen "cross-app resource access attacks aka XARA"-Problemen (ebenfalls nicht gefixt) dürfen wir uns auf "ThunderStrike 2" freuen (DEF CON 23, 6. bis 9. August):



Trammell Hudson hatte ja auf dem 31C3 "Thunderstrike - EFI bootkits for Apple MacBooks" gezeigt, das original Video des Vortrages gibt es hier:



Ich hatte Trammel kürzlich gefragt, ob es schon Neues zum Thema "Dark Jedi Coma" gibt (also den EFI-Angriff "aus der Ferne") - hier seine Antwort:

My [next] talk will show how a software-only attack can rewrite the flash on the MacBook Pro (and possible the new MacBook; I have one on order to test). The Thunderstrike fix still leaves a hole that an Option ROM can use to reflash the firmware as well. Apple will hopefully have a fix in place by then.

Wollte das nur mal in die Runde werfen, da bei einem manipulierten EFI sämtliche Schutzmechanismen versagen. Da hilft dann auch kein PGP, 1Password oder 2-Faktor-Authentifizierung …
0
Mecki
Mecki17.06.15 17:21
The app comes with a browser extension for each major browser that collects the passwords from the user’s web account and passes them to the app through a WebSocket connection.
Ohne Verschlüsselung? Schwach, ganz schwach für eine Firma die einen Passwort Safe verkauft! Und überhaupt, über einen Socket? Schon mal was von IPC, Shared Memory, usw. gehört?
0
chessboard
chessboard17.06.15 17:21
Sogar Passwörter der populären Passwort-Manager-App 1Password habe man abfangen können.
Bestätigt dass jetzt nicht das, was ich oben geschrieben habe? Abfangen auf dem Weg von 1Password zum Browser. Das sollte doch was anderes sein, als Kopieren aus 1Password in die Zwischenablage und Einfügen im Browser aus der Zwischenablage. Oder ist die Zwischenablage ebenfalls betroffen?
0
Marcel_75@work
Marcel_75@work17.06.15 17:30
Weiteres Lesefutter zum Thema Firmware-Lücke:

0
MacBeck
MacBeck17.06.15 17:31
chessboard
Sogar Passwörter der populären Passwort-Manager-App 1Password habe man abfangen können.
Bestätigt dass jetzt nicht das, was ich oben geschrieben habe? Abfangen auf dem Weg von 1Password zum Browser. Das sollte doch was anderes sein, als Kopieren aus 1Password in die Zwischenablage und Einfügen im Browser aus der Zwischenablage. Oder ist die Zwischenablage ebenfalls betroffen?

Gute Frage. Aber wenn wirklich die 1612 MAC- und 200 iOS-Apps angreifbar sind, dann kann es sicher sein, dass du eine davon nutzt, die auf 1-passwort zurückgreift und so an die Daten kommt.

Ich denke, der beste Schutz ist der Kopf. Einfach dort ablegen. (und zur Sicherheit ne LaTeX-Datei anlegen mit den Passwörtern, die nie gesetzt wird, da schaut wohl kaum ein Hacker rein - so mach ich das)
It is what it is - don't make it what it isn't.
0
music-anderson
music-anderson17.06.15 18:37
Sollte man hier nicht dass Automatische (Benutzernamen und Kennwörter) Ausfüllen abschalten, denke schon oder?
Wenn Du nicht weisst was man Dir will, was willst n Du 8-D
0
Thunderbolt17.06.15 18:52
Wer das aktiviert hat, legt nicht viel Wert auf Sicherheit. Ausserdem sollte man die Browser Extension von 1Password sofort entfernen.
0
Marcel_75@work
Marcel_75@work17.06.15 19:24
Hier findet sich übrigens auch die erste öffentliche Reaktion seitens AgileBits (den Machern von 1Password):



Und das darf man sich dann mal auf der Zunge zergehen lassen:

What makes this particular attack more worrisome than other attacks that depend on malware running on your system is that the malware in this case does not need to be "admin" or "root".

Es gibt noch keinen wirklichen Patch (den muss Apple liefern), aber man kann trotzdem ein paar Einstellungen anpassen:

• Check "Always Keep 1Password Mini Running" in Preferences > General.

In the specific attack that Xing Luyi demonstrates, the malicious malware needs to be launched before the genuine 1Password Mini is launched. By setting 1Password Mini to always run, you reduce the opportunity for that particular attack.

Der zweite Tipp (always be careful about what software you run and install on your system) ist eher eine nette Anmerkung, denn das Security-Research-Team rund um Xing Luyi hat ja erfolgreich gefährliche Software durch den App Store Überprüfungsprozess geschleust - man hätte sie sich also sogar trotz Gatekeeper & Co. "einfangen" können …
0
Windwusel
Windwusel17.06.15 19:44
Heißt wenn 1PW immer läuft, kann ich auch das Browser Plugin gefahrlos nutzen?
Marcel_75@work
Hier findet sich übrigens auch die erste öffentliche Reaktion seitens AgileBits (den Machern von 1Password):



Und das darf man sich dann mal auf der Zunge zergehen lassen:

What makes this particular attack more worrisome than other attacks that depend on malware running on your system is that the malware in this case does not need to be "admin" or "root".

Es gibt noch keinen wirklichen Patch (den muss Apple liefern), aber man kann trotzdem ein paar Einstellungen anpassen:

• Check "Always Keep 1Password Mini Running" in Preferences > General.

In the specific attack that Xing Luyi demonstrates, the malicious malware needs to be launched before the genuine 1Password Mini is launched. By setting 1Password Mini to always run, you reduce the opportunity for that particular attack.

Der zweite Tipp (always be careful about what software you run and install on your system) ist eher eine nette Anmerkung, denn das Security-Research-Team rund um Xing Luyi hat ja erfolgreich gefährliche Software durch den App Store Überprüfungsprozess geschleust - man hätte sie sich also sogar trotz Gatekeeper & Co. "einfangen" können …
Meine Apple Geräte: MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 14 Pro Max, AirPods Pro (2. Gen), Apple TV 4K (2022) und HomePod mini (1. Gen)
0
Lapaloma17.06.15 19:47
Ist ja putzig, wie hier grundsätzliche Sicherheitslücken in OSX und iOS plötzlich zu einem 1password Problem stilisiert werden.
Echt, die Apple Welt samt ihrer Jünger, äh Bewohner, ist ein einziges reality distortion field
0
o.wunder
o.wunder17.06.15 20:11
Neun Monate gepennt? Sollte neun Monaten nicht ausreichen eine Lösung zu finden vor allem wenn man das Problem schon genau beschrieben bekommt.

Hinzu kommt dass HomeKit die Schlüsselbund Synchronisation zwischen iOS und OS X zwingend erfordert. Auch so eine Sache die mir absolut nicht gefällt und ein Sicherheitsrisiko darstellt, vor allem angesichts dieses Bugs.
0
ratti
ratti17.06.15 20:12
Hat jemand kapiert, was da passiert? Ich grübele noch. Was ich verstanden zu glauben habe läuft in etwa so (Bitte erweitern/korrigieren):

1. $APP registriert für sich selbst ganz normal einen Passworteintrag im Schlüsselbund.

2. Danach schaltet $APP im Schlüsselbund frei, dass auch andere Programme diese Kennworte lesen dürfen: Facebook.app, Gmail.app, Safari.app, Twitter.app — auch ohne das diese Apps überhaupt installiert sind.

3. Wenn man später eine dieser Apps nutzt und dort das Passwort speichert, landet es nicht im „eigenen“ Eintrag, sondern in der Liste von $APP.

4. $APP darf natürlich die eigene Passwortliste ohne Rückfrage auslesen. YOU ARE FUCKED UP.

TL;DR: Wenn man seine App vor anderen Apps installiert/gestartet bekommt, dann landen fremde Kennwörter in der Liste meiner App.

Das Ganze wäre dann kein „Bug“, sondern ein Designproblem.
0
Marcel_75@work
Marcel_75@work17.06.15 20:12
Lapaloma: Hier wurde doch nie behauptet, es wäre ein reines 1Password-Problem?

Es sollte jedem bewusst sein, dass diese XARA-Lücke(n) ein OS X und iOS Problem sind, also von Apple gefixt werden sollten.

Des Weiteren sind auch rootpipe, ThunderStrike etc. nicht unbemerkt an uns vorbei gegangen.

Das herbeigeschworene "reality distortion field" ist also wohl eher im Spiegelbild Deiner selbst zu suchen?
0
Fehler 11
Fehler 1117.06.15 23:48
Vermute auch, das es eher ein Designproblem ist und kein Bug. Das hat man anscheinend auch nicht in 6-9 Monaten lösen können oder wollen. Meinem Verständnis nach, müsste dann auch jede App neu geschrieben werden da man den Schlüsselbund und den Zugriff drauf in jetziger Form komplett neu gestalten müsste.
0
Stefan...18.06.15 00:02
Fehler 11
Vermute auch, das es eher ein Designproblem ist und kein Bug. Das hat man anscheinend auch nicht in 6-9 Monaten lösen können oder wollen. Meinem Verständnis nach, müsste dann auch jede App neu geschrieben werden da man den Schlüsselbund und den Zugriff drauf in jetziger Form komplett neu gestalten müsste.

Designproblem oder Bug - vom Aufwand her ist ersteres noch schlimmer.
Momentan ist der Security-Trackrecord von Apple aber auch erbärmlich :
-Rootpipe: kein funktionierender Fix mit 10.10.3, Apple schweigt. GAR KEIN Fix für <10.10.
-EFI-Lücke: Alle Macs vor 2014 kann man praktisch wegwerfen, wenn diese zusammen mit einer Privilege Escalation (Java, Safari, Flash) von Angreifern genutzt wird.

Und jetzt das. 9 Monate und nichts passiert. Wieviele Promille der Entwickler arbeiten eigentlich an OS X/Macs? Viel kann es nicht sein.
0
Thunderbolt18.06.15 07:26
Stefan

Weshalb wiederholst du nur, was Marcel_75 schon geschrieben hat? Du bringst nichts neues und meckerst nur. Marcel zum Beispiel hat interessante Links und gute Einschätzungen zu den Problemen gepostet, welche uns das Problem besser verstehen lassen.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.