Sicherheit: Strukturelle Sandbox-Lücke in macOS und iOS?
Jedes Update für Apples Betriebssysteme enthält eine unterschiedlich große Sammlung an gestopften Sicherheitslücken. Binnen weniger Tage nach Erscheinen einer neuen Version von iOS, macOS etc. veröffentlicht Apple ein Protokoll aller Lücken, die gemeldet und mit dieser Aktualisierung geschlossen wurden. In den letzten Jahren findet der Sicherheitsforscher Mickey Jin Erwähnung – im
jüngst erschienenen Dokument insgesamt neunmal. Auf der koreanischen Sicherheitskonferenz
POC2024 erläuterte er, welcher Mechanismus seinen Entdeckungen zugrunde liegt: Eine bestimmte Kategorie von Systemaufrufen lässt sich häufig nutzen, um aus der Sandbox auszubrechen. Dies betrifft vor allem macOS, doch gelegentlich auch iOS.
In seiner
Vortragsverschriftlichung beschreibt Jin, wo er die strukturelle Lücke in der Sandbox-Architektur verortet: Viele der von ihm gemeldeten Sicherheitslücken basieren darauf, dass eine App bestimmte „Mach Services“ aufruft. Apple nennt den Betriebssystem-Kernel Mach. Bisherige Sicherheitsforscher haben sich auf Mach Services konzentriert, welche der Domäne „System“ oder „User“ zugeordnet sind. Mickey Jin konzentrierte sich stattdessen auf Mach Services, die programm- oder prozessspezifisch sind (PID-Domäne). Gemäß seiner Analyse sei bei diesen nicht vorgesehen, dass sie von einer Sandbox-App aufgerufen werden. Als Resultat stelle das Betriebssystem für diese nur unzureichende Quarantäneregeln auf.
Nach Jins Einschätzungen könnten sich in dem Mach Services der PID-Domäne noch einige Sicherheitslücken verbergen. (Quelle:
Mickey Jin)
Elf anerkannte LückenDie im Konferenzvortrag dokumentierten Lücken meldete Mickey Jin über das Responsible-Disclosure-Verfahren an Apple; erst im Nachgang veröffentlichte er technische Details. Die meisten erhielten von Apple eine CVE-Nummer und gelten damit als dokumentierte valide Sicherheitslücke. Der als
CVE-2023-41077 registrierte Exploit des Image-Capture-Frameworks von macOS 13 (Ventura) erwies sich als besonders hartnäckig, da er mit diesem nicht nur aus der Sandbox ausbrechen, sondern auch die TCC-Mechanismen teilweise überlisten konnte. Apples Reparaturen erwiesen sich als unvollständig, sodass er insgesamt drei aufeinanderfolgende CVEs aus der einen Lücke zugesprochen bekam. Erst mit macOS 15 (Sequoia) konnte die Lücke dauerhaft geschlossen werden.
Fünf potenzielle Risiken sind noch nicht repariertDer Sicherheitsforscher gibt an, dass er fünf weitere Sicherheitslücken aus dem Bereich der PID-Mach-Services an Apple gemeldet hat; deren Anerkennung nebst Behebung stehe aktuell noch aus. Er beendete seinen Vortrag mit der Maßgabe, Apples zukünftige Sicherheitsanmerkungen aufmerksam zu verfolgen – und der Aufforderung, sich selbst auf Basis seiner Dokumentation auf die Suche nach potenziellen Lücken zu machen. Seine Vortragsfolien lassen sich als
PDF-Datei von seiner GitHub-Seite herunterladen.