Sandboxing: Forscher gelingt der Sprung aus Apples iOS-Sandbox

(Bild: Shutterstock)

Gegen Apples Sicherheitsmaßnahme in iOS ist doch ein Kraut gewachsen. Eigentlich muss jede App aus dem App-Store kommen, damit sie installiert werden kann. Ein Sicherheitsforscher hat das System ausgetrickst - ohne Jailbreak.

Eigentlich lassen sich Apps unter Umgehung des App-Stores von Apple nur installieren, wenn man das iOS-Gerät vorher einem Jailbreak unterzogen hat. Chilik Tamir von Mi3 Security gelang es, das System auch ohne Jailbreak zu umgehen

Tamir hat auf der Konferenz Black Hat Asia eine Schwachstelle in der Apple-Entwicklungsumgebung Xcode 7 vorgestellt, die es erlaubt, schädliche Apps auf iOS-Geräten zu installieren. Der von ihm als Sandjacking bezeichnete Angriff funktioniert auch auf Geräten, die nicht per Jailbreak freigeschaltet wurden, wie Security Affairs berichtet.

Lies auch: Apple muss iOS-Update 9.3.2 für iPad Pro 9,7 Zoll zurückziehen

Für seinen Angriff nutzte Tamir eine neue Funktion von Xcode 7. Sie erlaubt es Entwicklern, mithilfe ihres Namens und ihrer Apple ID Zertifikate für Apps auszustellen. Diese Apps müssen weder in den App Store hochgeladen werden, noch durchlaufen sie Apples Prüfverfahren. Im Gegenzug sind ihre Funktionen eingeschränkt. Die selbst zertifizierten Anwendungen haben keinen Zugriff auf Apple Pay, Applikations-Domains, iCloud, In-App-Einkäufe, Passbook beziehungsweise Wallet und sie können keine Push-Benachrichtigungen senden.

Dem Bericht zufolge können solche Apps jedoch Nutzerdaten abrufen und auch das Adressbuch und den Kalender lesen. Zudem sei es ihnen möglich, den Standort des Nutzers per GPS zu ermitteln. Damit verfügten sie über viele Funktionen mobiler Malware.

Seinen Angriff demonstrierte Tamir mit einem von ihm entwickelten Proof-of-Concept. Das Su-A-Cyder genannte Tool ist in der Lage, auf einem iOS-Gerät installierte legitime Apps durch schädliche Versionen zu ersetzen, die es selbst erstellt. Ein Angreifer muss sein Opfer lediglich dazu verleiten, sein iPhone oder iPad mit einem Computer zu verbinden.

„Su-A-Cyder kann als ein Rezept beschrieben werden, bei dem eine Zutat Schadcode, eine Zutat eine legitime App und eine Zutat eine Apple ID ist, die zusammengemischt eine neue böse Client-App ergeben, die sich leicht auf einem nicht gejailbreakten Gerät installieren lässt“, erklärte Tamir. „Su-A-Cyder ist keine Schadsoftware und es ist keine Anfälligkeit, es ist ein Angriffsvektor. Es ist eine Zusammenstellung von Open-Source-Technologien (Theos und Fastlane), die Apples selbstgebrautes Zertifizierungsprogramm für Apps nutzt, um zu zeigen, dass eine anonyme Entwicklung böser Apps kein Mythos mehr ist. Und jede legitime Anwendung kann mit einer anonymen Apple ID umgestaltet und per Sideloading auf einem Gerät installiert werden.“

Sandjacking funktioniere, weil Apple den Wiederherstellungsprozess von Apps nicht kontrolliere. Ein Angreifer erstelle eine Kopie, entferne die legitime App, installiere die gefährliche Version und stelle dann das Backup wieder her. In diesem Szenario werde die schädliche App nicht entfernt und der Hacker erhalte Zugriff auf die Sandbox der App, die er ersetzt habe.

Apple sei der Fehler schon seit Januar bekannt, heißt es weiter in dem Bericht. Es habe bisher aber noch keinen Patch bereitgestellt. Tamir wiederum plane die Veröffentlichung eines weiteren Tools, das das Sandjacking-Verfahren automatisiere – aber erst, nachdem ein Fix erhältlich sei.

Tipp: Wie gut kennst Du Apple? Überprüfe Dein Wissen – mit 15 Fragen auf silicon.de.

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDNet.de
  1. Dass man das prinzipiell ausnutzen kann wusste ich schon lange vorher. Es ist möglich, mit einer fremden Apple-ID eine App auf einem iPhone zu installieren und alle In-App-Käufe freizuschalten. Beim nächsten Update der App ersetzt man die App dann mithilfe von iTunes durch die selbst gekaufte Version. Alle Daten und In-App-Käufe bleiben erhalten. Auch wenn man selbst diese nie gekauft hat.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising