iphone-ticker.de — Alles zum iPhone. Seit 2007. 19 450 Artikel
   

Apple-Geräte angreifbar: App-Sandboxen in iOS 9 sind undicht

Artikel auf Google Plus teilen.
13 Kommentare 13

Die Sandbox-Architektur des aktuellen iOS-Betriebssystems, die Apple vor allem dazu einsetzt Anwendungen und Betriebssystem voneinander zu trennen, weist nach Angaben mehrere Sicherheits-Forscher erhebliche Lücken auf.

Sec

Bild: TU Darmstadt | Paul Glogowski

Die TU Darmstadt, die den Aufbau der Sandbox in Kooperation mit einem internationalen Team von Cybersicherheitsforschern untersucht hat, spricht sogar von schwerwiegende Sicherheitslücken in iPhone und iPad und geht davon aus, dass diese eine Vielzahl von Angriffen auf Apples Mobilgeräte ermöglichen würden.

So könnten nicht nur die iOS-Datenschutzeinstellungen für Kontakte manipuliert werden, auch der Zugriff auf den Nutzernamen und die Medienbibliothek, das Sperren des Zugangs zu Systemressourcen und der Zugriff auf sensible Informationen wie Foto-Metadaten wäre möglich.

Die Forscher beschreiben den Angriff auf den Sandbox-Schutz von iOS wie folgt:

Jede Drittanbieter-Anwendung bekommt dort ein festgelegtes Profil zugewiesen, in dem geregelt ist, auf welche Informationen die App zugreifen und welche Aktionen sie ausführen darf. Um diese Profile auf Sicherheitslücken zu untersuchen, die bösartige Drittanbieter-Apps ausnutzen könnten, wurden die binär-kodierten Sandbox-Profile aus dem Betriebssystem extrahiert und dann in eine für Menschen lesbare Form umgewandelt. So konnte ein Modell für jedes einzelne Profil erstellt und mit Hilfe von selbstentwickelten vollautomatischen Tests auf Sicherheitslücken untersucht werden.

iOS 10 soll Fehler beheben

Das Team will sein Paper zum Thema, “SandScout: Automatic Detection of Flaws in iOS Sandbox Profiles”, zur renommierten CCS-Konferenz Ende Oktober in Wien vorstellen und hat die Erkenntnisse bereits an Apple übergeben.

Apple hat schnell auf unsere Erkenntnisse reagiert und die Problemlösungen mit uns diskutiert. Trotzdem sind wir immer noch der Meinung, dass Apple sich von der Zusammenarbeit mit der akademischen Forschung zu sehr abschottet und keine Kooperationen anstrebt.

via Heise Security

Donnerstag, 25. Aug 2016, 15:40 Uhr — Nicolas
13 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Wenigstens wurden diese gleich an Apple übergeben. Die Gefahr besteht also noch nicht. So lange nur die von der Tu Darmstadt wissen.

    • „Die Angriffe setzen voraus, dass Apple manipulierte Programme in den App Store lässt und der Nutzer diese installiert“ hätten ihr ruhig darauf hinweisen können. So ist ja die Gefahr quasi nicht gegeben.

      • Wenn ich mich recht entsinne hat Apple schon Bittorrent-Apps, Screen-Recorder und Modem-Anwendungen in den App Store aufgenommen (und erst später wieder entfernt) hundertprozentig sicher ist da mal gar nix.

      • Und du meinst die kommen alle von der TU Darmstadt? Bisher ist die Lücke ja noch niemand aufgefallen.

      • die Gefahr ist theoretisch nicht gegeben. Praktisch siehts anders aus.

      • Falsch, bisher hat nur einer das veröffentlicht…

      • @Helpster: Wir alle wissen, dass die TU Darmstadt immer die ersten sind und dass dort keine bösen Buben rumspringen. Die bösen Hacker und die NSA, der BND und die Geheimdienste der Türkei, die lesen das erst heute alle bei heise und ifun.

  • Vor allem der letzte Satz, dass sich Apple zu sehr von der akademischen Forschung abschottet und keine Kooperation anstrebt‘, sollten sich der bornierte Verein mal zu Herzen nehmen. Schließlich profitiert das iOS zu 80% von Open-Source und schöpft damit aus einer weltweit aktiven Quelle, und zwar einseitig.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 19450 Artikel in den vergangenen 3383 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2016 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven