Haupt Software Zero-Day-Exploit lässt App Store-Malware OS X- und iOS-Passwörter stehlen
Software

Zero-Day-Exploit lässt App Store-Malware OS X- und iOS-Passwörter stehlen

Aktualisiert Forscher haben einen Exploit entdeckt, der es OS X- und iOS-Malware im App Store ermöglicht, Passwörter und App-Daten sowie Sitzungstoken zu stehlen. Leitender Mitarbeiter, Tablets 17. Juni 2015 05:34 PDT Mac App Store Apfel

Sicherheitsforscher haben große Fehler in OS X und einen einzigen in iOS gefunden, die Malware die Tür öffnen. Die Exploits ermöglichen es bösartigen Apps, die ihren Weg in den App Store gefunden haben, Sandbox und andere Sicherheitsvorkehrungen zu umgehen oder zu ignorieren, um Passwörter aus den Schlüsselbundeinträgen anderer Apps zu greifen, Daten aus dem privaten Datenspeicher anderer Apps zu stehlen, Netzwerkports zu kapern und sich als zu tarnen verschiedene Apps, um bestimmte Kommunikationen abzufangen.

Apples Überprüfungsprozess für den App Store – sowohl für iOS als auch für OS X – soll verhindern, dass Malware in sein System eindringt. Wenn dieses Bollwerk versagt, setzt das Unternehmen auf Sandboxing, das verhindert, dass Apps auf andere als die von der App verwalteten Daten und Dateien zugreifen, außer über sehr eng definierte Kanäle.

Jedoch, sechs Forscher haben entdeckt viele Schwachstellen in der Art und Weise, wie Apple den Speicher für Apps und die Kommunikation zwischen Apps überprüft und von Apps verlangt. Die Autoren nannten diesen nicht autorisierten App-übergreifenden Ressourcenzugriff, den sie als XARA abkürzen.



Einer der Autoren, XiaoFeng Wang, Professor für Informatik an der Indiana University, sagte in einem Interview, OS X biete umfangreichere Funktionen. In diesem Fall wird es angreifbar.

Die Forscher sagten, sie hätten Apple im Oktober 2014 und danach zweimal benachrichtigt und ihnen wurde mitgeteilt, dass es sechs Monate dauern würde, die Mängel zu beheben. Die Autoren sagen auch, Apple habe im Februar nach ihrem Papier gefragt. Dies gilt als Zero-Day-Exploit, da es sofort verfügbar ist, um in Malware einzuschleusen, aber Branchenpraktiken zur Offenlegung wurden beobachtet.

Was die von den Forschern vorgestellten Angriffsvektoren minimiert, ist, dass jede bösartige App in den App Store gelangen muss. Unglücklicherweise für Apple konnten die Autoren des Papiers genehmigte Apps einreichen und erhalten, die diese Schwächen ausnutzten. Sie entfernten sie sofort nach der Genehmigung, da sie ihren Proof of Concept hatten.

Am Freitag sagte ein Apple-Sprecher in einer vorbereiteten Erklärung: Anfang dieser Woche haben wir ein serverseitiges App-Sicherheitsupdate implementiert, das App-Daten sichert und Apps mit Sandbox-Konfigurationsproblemen aus dem Mac App Store blockiert. Wir haben weitere Fixes in Arbeit und arbeiten mit den Forschern zusammen, um die Behauptungen in ihrem Papier zu untersuchen.

Das Papier beschreibt vier Fehler, von denen drei nur für OS X gelten. Ohne wesentliche Änderungen könnte iOS jedoch einem oder zwei zusätzlichen Exploits unterliegen, die festgestellt wurden, wenn bestimmte Arten von anwendungsübergreifenden oder systemweiten Änderungen der Datenspeicherung vorgenommen wurden.

Die Analyse Hunderter kostenloser Apps durch die Forscher zeigt, dass die meisten für die meisten dieser Angriffsvektoren anfällig sind. Agile Bits, Entwickler von 1Password, hat mit einem Blogbeitrag geantwortet am Mittwoch detailliert, was das Unternehmen plant und was die Benutzer tun können, um sich zu schützen.

So suchen Sie auf dem Mac nach Updates
xara Konsequenzen

Forscher fanden heraus, dass eine Reihe von Apps in den Mac- und iOS-App Stores anfällig für diese Angriffe sind.

Vier Wege zum Knacken

Das Papier skizziert vier verschiedene Schwachstellen:

  • Passwortdiebstahl über den systemweiten Schlüsselbund.

  • Container-Cracking zwischen Apps, wobei eine App den Inhalt des angeblich privaten Datenspeichers einer anderen Sandbox-App abrufen kann.

  • Internet-Socket-Abfangen, das es einer bösartigen App ermöglicht, den Datenverkehr zu einer App zu kapern.

  • Schema-Hijacking (sowohl iOS als auch OS X), bei dem die systemweite Methode zum Starten einer App von einer anderen umgeleitet wird, um Login-Token oder andere Informationen zu erfassen.

Passwortdiebstahl . Die Autoren fanden heraus, dass sie die Parameter bestimmen konnten, die für jede App im Schlüsselbund verwendet werden: Die Attribute jedes Schlüsselbundelements sind tatsächlich öffentlich, obwohl ihr Inhalt (Anmeldeinformationen) geschützt ist, schreiben sie.

Eine bösartige App erhält Zugriff auf den Schlüsselbundeintrag für eine Ziel-App, indem sie entweder einen Eintrag vor dem Opfer erstellt oder einen vorhandenen löscht. In beiden Fällen wird der Malware beim Erstellen oder erneuten Erstellen des Eintrags neben der App Zugriff gewährt.

…[A]der Angreifer muss nur [sic] ein vorhandenes Element identifizieren, es aus dem Schlüsselbund entfernen und ein neues mit denselben Attributen erstellen, um darauf zu warten, dass die Ziel-App ihr Geheimnis dort ablegt.

So fokussieren Sie die Kamera auf dem iPhone

Eine gezielte App könnte die Zugriffskontrollliste (ACL) überprüfen, die verwendet wird, um den Zugriff auf einen OS X-Schlüsselbundeintrag einzuschränken, aber dies wird von Apple nicht erforderlich oder empfohlen.

Die Forscher griffen in ihren Tests Internetkonten, den Einstellungsbereich, der systemweite Kontodaten verwaltet, einschließlich iCloud-Passwörtern, und den Chrome-Browser an, aber die Technik funktioniert mit jeder App.

Die in OS X 10.10.3 und der 10.10.4 Beta eingeführten Änderungen enthalten ein Element, das den Fehler beheben soll, aber die Forscher fanden es ineffektiv.

Behälterknacken . Jede Sandbox-App kann einen geschützten Datenspeicherbereich haben, aber wenn Apps Daten mit anderen Apps teilen möchten, eröffnet dies eine Schwachstelle, die die Autoren des Papiers ausnutzen konnten.

Während Apple die Eindeutigkeit des Bundle Identifier (BID) erzwingt, der zum Einrichten separater Datenspeichercontainer in OS X verwendet wird, werden Subsysteme nicht an die gleichen Anforderungen gehalten. Ein bösartiges Programm kann die BID eines Subsystems verwenden, um sich selbst der ACL für den Hauptdatencontainer einer anderen App hinzuzufügen und ihm vollen Zugriff zu gewähren.

Die Forscher führten End-to-End-Angriffe auf Evernote, WeChat, QQ, Money Control und andere, die in einem Anhang aufgeführt sind, durch und ließen eine App im App Store mit diesem eingebetteten Angriff genehmigen.

Aus dem Container von Evernote hat unsere Angriffs-App beispielsweise mit einem XPC-Dienst, der die BID der Ziel-App gekapert hat, erfolgreich alle Kontakte des Benutzers und seine privaten Notizen aus ∼/Library/Containers/com.evernote.Evernote/ gestohlen. Konto/.

Abfangen von Internet-Steckdosen . Das Internet arbeitet mit Adressen und Ports. Adressen sind für einen bestimmten Computer, ein Mobiltelefon oder ein anderes Gerät eindeutig. Häfen sind wie Wohnungen in einem Mehrfamilienhaus, jede mit einer bestimmten Funktion.

In OS X können Apps Ports registrieren und verwenden, um mit und von Browsern zu kommunizieren. Das Papier gibt das Beispiel von 1Password, das über Browsererweiterungen verfügt, die mit der 1Password-Hauptanwendung kommunizieren. (Auch hier arbeitet 1Password daran, dies zu beheben, und hat einige Ratschläge gegeben wie Benutzer Angriffe verhindern können.)

Eine bösartige App kann einen Port kapern, bevor er von der Ziel-App registriert wird, und Daten abfangen. Im Fall von 1Password könnte eine bösartige App (die auch über den App Store genehmigt wurde) das Passwort abrufen, wenn sich ein Benutzer bei einem Webkonto anmeldet.

Diese Methode ermöglicht auch das, was früher als Sidejacking bezeichnet wurde: das Stehlen von Token, die verwendet werden, um den Browser eines Benutzers während einer Sitzung mit einer Site zu identifizieren, und dann dieses Token an anderer Stelle zu verwenden.

schalte den Fernseher mit der Apple TV-Fernbedienung ein

Schema-Hijacking . Ein Schema ist eine Möglichkeit, eine Art von Internet oder eine andere Ressource zu identifizieren und einige Informationen in Form einer URL an diese weiterzugeben. Das generische Webschema ist beispielsweise http (wie in http://); alle iOS- und OS X-Apps registrieren Schemata beim System, um anderen Apps die Weitergabe von Daten zu ermöglichen oder einen Deep-Link innerhalb der App zu öffnen.

Apple benötigt jedoch keine eindeutigen Schemata wie bei eindeutigen Bundle-IDs. Jede App kann jedes Schema mit Validierung registrieren, mit Ausnahme einer Handvoll Apple-spezifischer. Es gibt auch keine Möglichkeit für eine App, festzustellen, ob sie eine URL an die richtige App weitergibt – sie muss sich auf das Betriebssystem verlassen.

Mac OS Journaled vs. Groß-/Kleinschreibung

Die Autoren des Papiers fanden:

Für ein Schema, das nicht in den Listen enthalten ist, wird es an die erste App gebunden, die es unter OS X und die letzte unter iOS registriert.

Die Forscher konnten Token für andere Apps in OS X greifen, wo diese Methode selten verwendet wird, und iOS, wo sie sehr verbreitet ist, und dann Sidejack-Sitzungen. Ein Proof-of-Concept war die Entführung des Facebook-Schemas, sodass die Pinterest-App ein Token anforderte und die Facebook-Antwort mit dem Zugriffstoken der Pinterest-App dann von der Malware der Autoren erfasst wurde.

App-Entwickler könnten feststellen, dass die falsche App eine Antwort zurückgeleitet hat – die Pinterest-App würde wissen, dass etwas schief gelaufen ist – aber das würde die ausgehende Entführung nicht stoppen, die den Token in der ersten erbeutet hat.

Verifizieren, dann vertrauen

Die Autoren führten eine Vielzahl von Tests durch, um festzustellen, wie wahrscheinlich es war, dass Apps für diese Exploits anfällig sind, und zogen 1.612 kostenlose Apps herunter, die bis zu den 100 besten kostenlosen Apps in jeder Hauptkategorie darstellen. Von 198, die den Systemschlüsselbund verwenden und anfällig sein sollten, erwiesen sich 18 von 20, die sie zufällig ausgewählt haben, als ausnutzbar. (Zwei Google-Apps sind immun.)

In Bezug auf die Schema-Schwachstelle hatten 982 Mac-Apps das Potenzial für dieses Problem basierend auf einem Code-Scan, und von 200 zufällig ausgewählten Mac-Apps für eine tiefere Analyse wurden 132 als anfällig befunden.

Wang von der Indiana University sagte, dass in iOS eindeutig mehr zu finden ist, da ihre Forschung nach wie vor zu den wenigen gehört, die App-übergreifende Probleme eingehend untersuchen. Wenn ich ein Hijacker wäre, würde ich mein Ziel einfach auf iOS verschieben, sagte er.

Die kurzfristige Lösung für diese Exploits ist eine Kombination aus neuen Empfehlungen und Anforderungen an App-Entwickler und zusätzlichen Verfahren in der App Store-Überprüfung. Was der App Store tun kann, ist, zumindest etwas Ähnliches auszuführen, um bösartige Apps zu identifizieren, aber zumindest diejenigen, die als Ziele anfällig sind, sagte Wang.

Sein Kollege, Doktorand Luyi Xing, stellte fest, dass Apple auch etwas unternehmen sollte, um das Systemmanagement durchzusetzen. Xing sagte jedoch, dass es sich eher um ein Designproblem als um ein Problem bei der App-Implementierung handelt. Dies erfordert ein tiefes Umdenken bei Apple und stellt eine gewisse Belastung für die Entwickler dar, da neue Authentifizierungs- und Registrierungsverfahren Einzug in die App Store-Anforderungen halten.

Da die Schwachstellen nur von Apps ausgenutzt werden können, die es in den App Store schaffen, bietet dieser vorerst eine Firewall.