Apple-Geräte angreifbar: App-Sandboxen in iOS 9 sind undicht
Die Sandbox-Architektur des aktuellen iOS-Betriebssystems, die Apple vor allem dazu einsetzt Anwendungen und Betriebssystem voneinander zu trennen, weist nach Angaben mehrere Sicherheits-Forscher erhebliche Lücken auf.
Bild: TU Darmstadt | Paul Glogowski
Die TU Darmstadt, die den Aufbau der Sandbox in Kooperation mit einem internationalen Team von Cybersicherheitsforschern untersucht hat, spricht sogar von schwerwiegende Sicherheitslücken in iPhone und iPad und geht davon aus, dass diese eine Vielzahl von Angriffen auf Apples Mobilgeräte ermöglichen würden.
So könnten nicht nur die iOS-Datenschutzeinstellungen für Kontakte manipuliert werden, auch der Zugriff auf den Nutzernamen und die Medienbibliothek, das Sperren des Zugangs zu Systemressourcen und der Zugriff auf sensible Informationen wie Foto-Metadaten wäre möglich.
Die Forscher beschreiben den Angriff auf den Sandbox-Schutz von iOS wie folgt:
Jede Drittanbieter-Anwendung bekommt dort ein festgelegtes Profil zugewiesen, in dem geregelt ist, auf welche Informationen die App zugreifen und welche Aktionen sie ausführen darf. Um diese Profile auf Sicherheitslücken zu untersuchen, die bösartige Drittanbieter-Apps ausnutzen könnten, wurden die binär-kodierten Sandbox-Profile aus dem Betriebssystem extrahiert und dann in eine für Menschen lesbare Form umgewandelt. So konnte ein Modell für jedes einzelne Profil erstellt und mit Hilfe von selbstentwickelten vollautomatischen Tests auf Sicherheitslücken untersucht werden.
iOS 10 soll Fehler beheben
Das Team will sein Paper zum Thema, “SandScout: Automatic Detection of Flaws in iOS Sandbox Profiles”, zur renommierten CCS-Konferenz Ende Oktober in Wien vorstellen und hat die Erkenntnisse bereits an Apple übergeben.
Apple hat schnell auf unsere Erkenntnisse reagiert und die Problemlösungen mit uns diskutiert. Trotzdem sind wir immer noch der Meinung, dass Apple sich von der Zusammenarbeit mit der akademischen Forschung zu sehr abschottet und keine Kooperationen anstrebt.