Daniel Hruska Im Oktober 2014 gelang es einer Gruppe von sechs Forschern, alle Sicherheitsmechanismen von Apple erfolgreich zu umgehen, um eine App im Mac App Store und im App Store zu platzieren. In der Praxis könnten sie bösartige Anwendungen auf Apple-Geräte einschleusen, die an sehr wertvolle Informationen gelangen könnten. Nach einer Vereinbarung mit Apple sollte dieser Sachverhalt etwa sechs Monate lang nicht veröffentlicht werden, was die Forscher auch einhielten.
Hin und wieder hören wir von einer Sicherheitslücke, jedes System hat sie, aber diese hier ist eine wirklich große. Es ermöglicht einem Angreifer, eine App durch beide App Stories zu pushen, wodurch das iCloud-Schlüsselbundkennwort, die Mail-App und alle in Google Chrome gespeicherten Kennwörter gestohlen werden können.
[youtube id=“S1tDqSQDngE“ width=“620″ height=“350″]
Der Fehler kann dazu führen, dass Malware von praktisch jeder App, egal ob vorinstalliert oder von Drittanbietern, ein Passwort erhält. Der Gruppe gelang es, das Sandboxing vollständig zu überwinden und so Daten aus den am häufigsten verwendeten Anwendungen wie Everenote oder Facebook zu erhalten. Die ganze Angelegenheit ist im Dokument beschrieben „Unautorisierter Cross-App-Ressourcenzugriff unter MAC OS X und iOS“.
Apple hat sich zu der Angelegenheit nicht öffentlich geäußert und nur detailliertere Informationen von den Forschern angefordert. Obwohl Google die Schlüsselbundintegration entfernt hat, löst sie das Problem als solches nicht. Die Entwickler von 1Password haben bestätigt, dass sie die Sicherheit der gespeicherten Daten nicht zu 100 % garantieren können. Sobald ein Angreifer in Ihr Gerät gelangt, ist es nicht mehr Ihr Gerät. Apple muss eine Lösung auf Systemebene finden.
Es ist definitiv ein Fehler, aber der Rat hängt von der Person ab, welche Anwendung sie installiert.
und wenn ich Anwendungen aus dem ofiko App Store installiere, auf die ich über die Standard-„Lesezeichen“ des iPhones zugreife, habe ich kein „geknacktes“ iOS-System, es wird/hat sogar mein kleines Ding gefährdet, ptm. mein iPhone mit iOS 8,3? Dem Artikel zufolge habe ich das Gefühl, dass es so ist... Und welche Anwendungen installiere ich? Von der Option „kostenlos“.
Der Punkt hier ist, dass diese Malware-Anwendungen auf dem offiziellen Weg in den App Store gelangen können und der Benutzer sie dann herunterlädt, weil er denkt, dass sie in Ordnung sind, nachdem sie die Apple-Prüfung bestanden haben. Daher ist es besser, keine Anwendungen von unbekannten Entwicklern zu installieren. So verstehe ich es zumindest.
Genau wie du sagst. Jedenfalls wundert es mich eher, wenn die Informationen stimmen, dass Apple angeblich schon seit über einem halben Jahr davon weiß und nichts dagegen unternommen hat.
Ich schätze, dass Apple die Kontrolle im App Store nach Erhalt der Informationen wahrscheinlich ergänzt hat und das diesbezügliche Risiko für das iPhone/iPad minimal ist.
Bei MAC muss es jedoch nicht so vernachlässigbar sein, da hier ganz normal Anwendungen außerhalb des MacAppStore installiert werden.