Eines der zentralen Sicherheitsfeatures von iOS ist seit jeher die sogenannte Sandbox. Apps dürfen und können nur auf eigene Daten zugreifen, lediglich in notwendigen Ausnahmefällen stehen ihnen Informationen aus anderen Anwendungen zur Verfügung. Gelegentlich jedoch gelingt es Angreifern, diesen Schutzwall durch die Ausnutzung von Schwachstellen zu durchbrechen und so an Daten zu kommen, die nicht für sie bestimmt sind. Eine derartige Sicherheitslücke klafft seit Jahren in iOS.


Bug in Apples Berechtigungssystem
Apps können sich offenbar in der aktuellen Version von iOS sowie in etlichen früheren Ausgaben von Apples Phone-Betriebssystem nahezu beliebige Berechtigungen verschaffen und unter Umständen uneingeschränkt auf das gesamte Dateisystem zugreifen. Das hat der Sicherheitsforscher "Siguza" nach eigenen Angaben herausgefunden. Kern der Problems ist ihm zufolge ein Bug in Apples Berechtigungssystem, das sich mit einer simplen Zeichenfolge überlisten lässt. Eine genaue Analyse hat "Siguza", der sich unter anderem als "iOS-Hacker" bezeichnet, in einem Blogpost veröffentlicht.

Ungültige XML-Tags kompromittieren das System
Um die Schwachstelle auszunutzen, müssen im sogenannten Entitlement File einer App die ungültigen XML-Tags "<!--- ><!-- >" enthalten sein. Die in dieser Datei definierten Berechtigungen fließen beim Signieren in die fertige App ein, auch wenn sie eigentlich unzulässig sind. iOS gewährt der Anwendung dann klaglos sämtliche angeforderten Rechte. Als ein besonders sicherheitsrelevantes Beispiel nennt "Siguza" in seinem Blogpost die Berechtigung "platform-application", welche eine App als Apple-Anwendung kennzeichnet, was ihr sehr weitgehende Möglichkeiten einräumt.


App "stiehlt" den SMS-Verlauf
Auf der Grundlage der Entdeckungen von Siguza hat der Sicherheitsforscher Wojciech Reguła eine simple Swift-App namens "SandboxEscape" entwickelt, welche den gesamten auf einem iPhone gespeicherten SMS-Verlauf ausliest und auf einen Server kopiert. Den Quellcode der Anwendung, der gerade einmal aus gut 40 Zeilen besteht, hat er in seinem Blog veröffentlicht. Dank der manipulierten Entitlement-Datei erhält die App die Berechtigung "com.apple.private.security.storage.Messages", welche den Zugriff auf die SMS-Datenbank erlaubt. Mit Hilfe einiger Zeilen Python-Code versetzte er dann seinen HTTP-Server in die Lage, die Datei sms.db vom iPhone zu empfangen.

Lücke bereits vor drei Jahren entdeckt
"Siguza" entdeckte die Sicherheitslücke nach eigenen Angaben bereits vor drei Jahren und setzte sie angeblich bereits in einigen eigenen Forschungsprojekten ein. Ob entsprechend präparierte Anwendungen Apples obligatorische Sicherheitsprüfung vor der Freigabe im iOS App Store bestehen würden, die Lücke sich also remote ausnutzen ließe, ist nicht bekannt. Apple hat die Schwachstelle in der dritten Betaversion von iOS 13.5 geschlossen, es ist also vermutlich nur eine Frage von wenigen Tagen, bis die potenzielle Gefahr beseitigt ist.