Sicherheitslücken: Angreifer konnten fremde iCloud-Inhalte einsehen und löschen
Apple bewirbt CloudKit auf den hauseigenen Developer-Seiten als effiziente, einfache und vor allem sichere API etwa für die automatische Synchronisation von Daten aller Art zwischen iPhones, iPads, Macs und weiteren Geräten aus Cupertino. Besonderen Wert legt das Unternehmen dabei nach eigenen Angaben auf den Schutz der persönlichen Daten der Nutzer. Wie jede Software ist das Programmierschnittstelle jedoch nicht frei von Fehlern. Ein Sicherheitsforscher stieß vor einigen Monaten auf Bugs, die den Zugriff auf fremde Daten ermöglichten.
Zugriff auf Inhalte mit sogenannten TokensDie Kommunikation zwischen Apples Endgeräten und CloudKit basiert auf sogenannten Tokens, welche den Zugriff auf die jeweiligen Inhalte erlauben. Dabei unterscheidet Apple zwischen persönlichen Tokens, die nur in Verbindung mit individuellen Zugangsdaten funktionieren, und als "public" bezeichneten Kennungen. Diese werden etwa von Apps wie Apple News genutzt. Der schwedische Entwickler Frans Rosén fand bereits im Februar dieses Jahres heraus, dass derlei in iCloud gespeicherte öffentliche Inhalte von jedem Nutzer gelesen und manipuliert werden konnten, der über ein beliebiges valides "Public Token" verfügt. Durch die Analyse des Datenverkehrs zwischen einigen von Apples hauseigenen Apps und CloudKit gelangte der Sicherheitsforscher in den Besitz solcher Kennungen.
Links zu Apple-News-Meldungen und Siri-Shortcuts gelöschtDie genaue Vorgehensweise beschreibt Rosén in einem ausführlichen Beitrag auf
Detectify. Mit den von ihm erbeuteten Tokens war er unter anderem in der Lage, Links zu allen öffentlichen Artikeln in Apple News aus dem entsprechenden Container zu löschen. Darüber hinaus gelang es ihm, von iPhone- und iPad-Nutzern via iCloud zur Verfügung gestellte Siri-Shortcuts zu entfernen.
Apple hat die Sicherheitslücken geschlossenRosén informierte Apple unmittelbar nach der Entdeckung über die Sicherheitslücken. Das Unternehmen hat die Schwachstellen in CloudKit mittlerweile behoben und dem Sicherheitsforscher im Rahmen des hauseigenen Bug-Bounty-Programms eine Prämie in unbekannter Höhe zukommen lassen. Rosén lobt in seinem Beitrag ausdrücklich die professionelle Zusammenarbeit mit Apples Security-Team.