Jedes Update für Apples Betriebssysteme enthält eine unterschiedlich große Sammlung an gestopften Sicherheitslücken. Binnen weniger Tage nach Erscheinen einer neuen Version von iOS, macOS etc. veröffentlicht Apple ein Protokoll aller Lücken, die gemeldet und mit dieser Aktualisierung geschlossen wurden. In den letzten Jahren findet der Sicherheitsforscher Mickey Jin Erwähnung – im jüngst erschienenen Dokument insgesamt neunmal. Auf der koreanischen Sicherheitskonferenz POC2024 erläuterte er, welcher Mechanismus seinen Entdeckungen zugrunde liegt: Eine bestimmte Kategorie von Systemaufrufen lässt sich häufig nutzen, um aus der Sandbox auszubrechen. Dies betrifft vor allem macOS, doch gelegentlich auch iOS.


In seiner Vortragsverschriftlichung beschreibt Jin, wo er die strukturelle Lücke in der Sandbox-Architektur verortet: Viele der von ihm gemeldeten Sicherheitslücken basieren darauf, dass eine App bestimmte „Mach Services“ aufruft. Apple nennt den Betriebssystem-Kernel Mach. Bisherige Sicherheitsforscher haben sich auf Mach Services konzentriert, welche der Domäne „System“ oder „User“ zugeordnet sind. Mickey Jin konzentrierte sich stattdessen auf Mach Services, die programm- oder prozessspezifisch sind (PID-Domäne). Gemäß seiner Analyse sei bei diesen nicht vorgesehen, dass sie von einer Sandbox-App aufgerufen werden. Als Resultat stelle das Betriebssystem für diese nur unzureichende Quarantäneregeln auf.


Elf anerkannte Lücken
Die im Konferenzvortrag dokumentierten Lücken meldete Mickey Jin über das Responsible-Disclosure-Verfahren an Apple; erst im Nachgang veröffentlichte er technische Details. Die meisten erhielten von Apple eine CVE-Nummer und gelten damit als dokumentierte valide Sicherheitslücke. Der als CVE-2023-41077 registrierte Exploit des Image-Capture-Frameworks von macOS 13 (Ventura) erwies sich als besonders hartnäckig, da er mit diesem nicht nur aus der Sandbox ausbrechen, sondern auch die TCC-Mechanismen teilweise überlisten konnte. Apples Reparaturen erwiesen sich als unvollständig, sodass er insgesamt drei aufeinanderfolgende CVEs aus der einen Lücke zugesprochen bekam. Erst mit macOS 15 (Sequoia) konnte die Lücke dauerhaft geschlossen werden.

Fünf potenzielle Risiken sind noch nicht repariert
Der Sicherheitsforscher gibt an, dass er fünf weitere Sicherheitslücken aus dem Bereich der PID-Mach-Services an Apple gemeldet hat; deren Anerkennung nebst Behebung stehe aktuell noch aus. Er beendete seinen Vortrag mit der Maßgabe, Apples zukünftige Sicherheitsanmerkungen aufmerksam zu verfolgen – und der Aufforderung, sich selbst auf Basis seiner Dokumentation auf die Suche nach potenziellen Lücken zu machen. Seine Vortragsfolien lassen sich als PDF-Datei von seiner GitHub-Seite herunterladen.