Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücke in iOS und macOS: Browser geben womöglich persönliche Daten preis - Gefahr ist jedoch gering

iPhone- und Mac-Nutzer laufen unter Umständen Gefahr, unbeabsichtigt und unbemerkt lokal gespeicherte Daten wie etwa den Browserverlauf preiszugeben. In den Tiefen von iOS 13 und macOS 10.15 Catalina schlummert nämlich eine Sicherheitslücke, welche von Angreifern genutzt werden könnte. Allzu ernst scheint das Problem allerdings nicht zu sein, denn einen Zugriff von außen erlaubt die Sicherheitslücke nicht.


Schwachstelle steckt in WebKit
Der Fehler steckt dem polnischen Sicherheitsforscher Pawel Wylecial zufolge in WebKit, und zwar in dessen Web Share API. Diese dient in iOS und macOS unter anderem dazu, Inhalte wie etwa Bilder und Texte auf Webseiten oder Links mit anderen zu teilen. Allerdings erlauben die aktuellen Versionen von Apples Rendering-Engine, welche auf iOS zwingend von allen Browsern genutzt werden muss, auch den Zugriff auf lokale Dateien. Diese lassen sich somit ebenfalls an Dritte verschicken, was eigentlich nicht vorgesehen ist.

Web Share API hat Zugriff auf lokale Dateien
Das Problem: Die Web Share API unterstützt neben URL-Formaten wie "https://" auch das Schema "file://". Angreifer können das ausnutzen, indem sie auf einer Webseite beispielsweise ein Foto und einen "Teilen"-Button platzieren, dessen Link auf eine lokal gespeicherte Datei verweist, etwa "file:///private/var/mobile/Library/Safari/History.db". Klickt oder tippt der Nutzer auf die Schaltfläche, öffnet sich das bekannte "Teilen"-Fenster. Hier lässt sich auswählen, wie der Inhalt weitergegeben werden soll, beispielsweise per Mail oder via SMS. Allerdings wird nicht nur das angezeigte Bild verschickt, sondern auch die hinterlegte Datei, im Beispiel also der Browserverlauf.

Demonstration der Schwachstelle ist verfügbar
Der Sicherheitsforscher demonstriert die Schwachstelle auf einer eigens erstellten Webseite mit einem Proof-of-Concept. Dort wird allerdings auch deutlich, dass sich die Lücke nur schwerlich für gezielte Angriffe ausnutzen lässt. Der Empfänger des zu teilenden Inhalts muss nämlich vom Nutzer selbst etwa in der Mail-App eingegeben werden. Ein automatisches Verschicken an eine zuvor vom Angreifer definierte Adresse ist nicht möglich, da die "Teilen"-Funktion die Übergabe einer solchen nicht unterstützt. Pawel Wylecial hält die Schwachstelle daher auch nicht für ein gravierendes Problem.

Apple ist bereits seit vier Monaten informiert
Der Sicherheitsforscher hat Apple bereits vor vier Monaten über seine Entdeckung informiert. Der kalifornische Konzern teilte ihm daraufhin jetzt mit, dass er die Lücke in den aktuellen Betriebssystemen erst im kommenden Frühjahr schließen werde. Gleichzeitig bat Apple darum, die Informationen bis dahin nicht zu publizieren. Da Wylecial diesen Zeitrahmen für unangemessen hält, veröffentlichte er nun seine Entdeckung. In den aktuellen Betaversionen von iOS 14 und macOS Big Sur scheint der Fehler allerdings bereits ausgemerzt zu sein, 9to5Mac konnte ihn jedenfalls nach eigenen Angaben damit nicht mehr reproduzieren.
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
Apple Event
Apple Event
Musikbranche verklagt KI-Anbieter
Musikbranche verklagt KI-Anbieter
Das iPhone 16 lässt sich ab sofort vorbestellen (Aktualisierung)
Das iPhone 16 lässt sich ab sofort vorbestellen...
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "alles besser wird"
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "...
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ist bekannt
iOS 18, iPadOS 18, macOS 15: Das Release-Datum ...
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
M4 Max: Noch beeindruckendere Benchmark-Ergebnisse
M4 Max: Noch beeindruckendere Benchmark-Ergebni...

Kommentare

sierkb27.08.20 14:29
heise (25.08.2020): iOS und macOS: Browser-Schwachstelle ermöglicht Extraktion lokaler Dateien
Ein Sicherheitsforscher hat Details zu der Lücke veröffentlicht, nachdem Apple einen Fix erst für 2021 in Aussicht gestellt hatte.
heise
[…]

Er habe die Schwachstelle schon im April an Apple gemeldet, dann aber lange nichts mehr gehört, außer einer kurzen Bestätigung, dass der Fehler analysiert werden, schreibt Wylecial. Der iPhone-Konzern habe ihn dann erst nach mehrfacher Nachfrage im August gebeten, die Details des Bugs noch nicht zu veröffentlichen – man wolle die Lücke im Frühjahr 2021 schließen. Dieser Zeitrahmen sei ihm nicht "akzeptabel" vorgekommen, so der Sicherheitsforscher, deshalb habe er sich zur (Teil-)Veröffentlichung entschieden.

ZDNet (25.08.2020): Security researcher discloses Safari bug after Apple delays patch
Safari bug could be abused to leak or steal files from users' devices.

Redteam.pl Techblog (25.08.2020): Stealing local files using Safari Web Share API
0
ilig
ilig27.08.20 16:28
sierkb
Ich erkenne in Deinen Zitaten keine Informationen, die nicht schon im MTN-Artikel enthalten sind. Oder habe ich etwas übersehen?
0
sierkb27.08.20 17:05
ilig
sierkb
Oder habe ich etwas übersehen?

Ja, hast Du. Das, was ich zitiert habe. Es ist der Grund, warum dieser Sicherheitsforscher damit jetzt an die Öffentlichkeit gegangen ist und wir jetzt darüber lesen statt erst im Frühjahr 2021, ansonsten wüssten wir jetzt nix davon.
-1
ilig
ilig27.08.20 18:29
sierkb
Es ist der Grund, warum dieser Sicherheitsforscher damit jetzt an die Öffentlichkeit gegangen ist und wir jetzt darüber lesen statt erst im Frühjahr 2021
Genau das lese ich aus dem letzten Absatz des MTN-Artikels –Apple ist bereits seit vier Monaten informiert– heraus.
0
sierkb27.08.20 18:44
ilig
Genau das lese ich aus dem letzten Absatz des MTN-Artikels … heraus.

Jetzt. Das stand, wenn ich mich nicht irre, zuvor anders und verkürzter da bei MTN. Genau deshalb meine Ergänzung, sonst hätte ich sie mir verkniffen. Es fehlte in dem MTN-Artikel eine wichtige Information, die dem Ganzen überhaupt den Sinn verleiht, warum jetzt – die wollte ich danebenstellen, mehr nicht. Der MTN-Autor hat es wohl inzwischen nachgebessert.

In seiner Blog-Veröffentlichung begründet Pawel Wylecial zudem, warum dieses von Apple erbetene Warten bis Frühjahr und Stillschweigen für ihn nicht akzeptabel ist, und solange den Mund zu halten. Weil er die betreffende Sicherheitslücke nebst ihren Implikationen nämlich keineswegs als so harmlos einstuft, wie Apple es offenbar tut. Und er sich deshalb,nach reiflicher Überlegung dazu entschieden hat, Apples Weisung/Bitte, Stillschweigen drüber zu bewahren, nicht Folge zu leisten und die Öffentlichkeit bereits vorab und jetzt über das bloße Vorhandensein dieser Sicherheitslücke zu informieren und dann später, wenn sie dann von Apple im Frühjahr 2021 gefixt ist, weitere Details dazu zu veröffentlichen.

Genau dieser Umstand stand in der ursprüngl. Fassung des MTN-Artikels meines Erachtens nicht drin. Jetzt, offenbar nachträglich ergänzt, wenigstens in Teilen.
-2
Dupondt27.08.20 18:52
sierkb
Jetzt. Das stand, wenn ich mich nicht irre, zuvor anders und verkürzter da bei MTN.
...
Der MTN-Autor hat es wohl inzwischen nachgebessert.

Du irrst. An meinem Bericht wurde seit der Veröffentlichung um 8:26 Uhr nicht ein einziges Zeichen geändert.
+1
sierkb27.08.20 18:53
Dupondt:

OK. Danke für die Richtig- bzw. Klarstellung. Dann ist's mein Fehler, das unzutreffenderweise offenbar so wahrgenommen zu haben, und ich bitte aufrichtig um Entschuldigung.
0
stromsparmodus27.08.20 19:42
MTN
Allerdings erlauben die aktuellen Versionen von Apples Rendering-Engine, welche auf iOS zwingend von allen Browsern genutzt werden muss, auch den Zugriff auf lokale Dateien.

Das ist dann die Stelle, an der ich mir wünsche, den Firefox mit einer anderen Engine installieren zu können ...

So hat man aber mitunter bei allen installierten Browsern auf iOS die gleiche Lücke in Webkit und ist darauf angewiesen, dass Apple selbige zeitnah schließt - oder wenigstens kommuniziert.
+1
sierkb28.08.20 02:17
The Safari Web Share API bug is now getting fixed in WebKit
Siehe Tweets / ff. bzw. bzw.

GitHub: WebKit: Commit c0a09c85985c94e03e65d9a21edeb707a20575cd by timothy_horton@apple.com, committed 2 days ago:
(Web Share API can share non-HTTP(S) URLs, https://bugs.webkit.org/show_bug.cgi?id=215823, <rdar://problem/62083130>)
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.