Meldung: Zeroday-Lücken in iOS und OS X

[bowman]

Quelle: http://www.heise.de/security/meldun...en-offenbar-Passwoerter-auslesen-2715047.html

Zitat:
"Eine Sicherheitslücke in Apples Schlüsselbund in Mac OS X, der systemweit unter anderem Benutzerdaten und Passwörter verwaltet, erlaubt einer App beispielsweise, die von einer anderen App gespeicherten Daten abzufragen, erklären die Forscher – sie hätten auf diese Weise erfolgreich Zugangsdaten ausgelesen, die die Systemeinstellung "Internetaccounts" verwaltet, darunter das iCloud-Token zum Zugriff auf Apples Cloud-Dienste, auch andere dort hinterlegte Daten für E-Mail-Konten oder soziale Netzwerke seien anfällig."

und:

"Neben dem Schlüsselbundangriff sind manipulierte Apps unter OS X angeblich auch fähig, die Sandbox anderer Programme zu knacken und sensitive Daten auszulesen – so sei es beispielsweise möglich, Kontaktdaten und Notizen aus Evernote zu entwenden. Durch Schwachpunkte in WebSockets waren die Forscher nach eigener Angabe in der Lage, Kennwörter aus der Passwortverwaltung 1Password auszulesen – als Angrifsspunkt diente hier die Browser-Erweiterung des Programms für Safari, Chrome und Firefox. Die darüber informierten 1Password-Entwickler hätten die Schwere des Problems anerkannt, merken die Forscher an."

Hier eine recht gute Erklärung zur Funktionsweise des Exploits:
http://www.heise.de/forum/Mac-i/New...hain-Angriff-im-Detail/posting-20918760/show/

tl;dr: Apple-Betriebssysteme haben ein sehr ernsthaftes Sicherheitsproblem (das grösste Denkbare?) und trotz dieses Wissens hat Apple die letzten 6 Monate nicht bzw. nur ungenügend reagiert.

 

[astrophys]

und trotz dieses Wissens hat Apple die letzten 6 Monate nicht bzw. nur ungenügend reagiert.

Das ist verständlich, schließlich mussten alle Kräfte darauf konzentriert werden, die Apple Watch zu veröffentlichen.

 

[avalon]

Ich frage mit gerade auf was sich die IT Sicherheitsbeauftragten des Bundestags so konzentriert haben....

Eine Watch war es jedenfalls nicht.

 

[Ing Gerald Kohl]

Eine Appliancen Technik vorschalten und mit IOS 8.3 Viva VPN ins Internet oder auf E-Mail Host SMTP /Pop3

 

[spaceman88]

Das ist verständlich, schließlich mussten alle Kräfte darauf konzentriert werden, die Apple Watch zu veröffentlichen.

Ja, denn das watchOS Team besteht aus Leuten aus der Sicherheitsgruppe.

 

[Ing Gerald Kohl]

*****

 

[xentric]

Ich frage mit gerade auf was sich die IT Sicherheitsbeauftragten des Bundestags so konzentriert haben....

Eine Watch war es jedenfalls nicht.

http://www.heise.de/forum/heise-onl...uehrten-Organisationen/posting-20816483/show/

Ich kann mir wirklich vorstellen, dass das genau so ablaeuft. Da bringen auch gute IT'ler nichts..
Mal abgesehen davon, dass wir ja wissen, dass in einigen Behörden immer noch XP läuft, das geht IMHO absolut gar nicht! Selbst wenn die einen "extended supportvertrag" haben, hat XP absolut keine Mitigations und basiert auf einen >7 Jahre alten Kern. Das ist schon eine Ewigkeit in unserer IT-Welt..

 

[avalon]

Ich fass es nicht....

Hoffentlich sitzt kein Politiker am Schaltpult der Atomraketen...

PIN: Bitte entfernen
Passwort: Bitte ein einfaches
Schlüssel: Bitte beim Schlüsseldienst Duplikat anfertigen, ich verlege sowas leicht

 

[Saloice]

Ne, da sitzen die mit dem Geld.

Apropos:
http://www.faz.net/aktuell/wirtscha...ll-praesident-in-amerika-werden-13651356.html

 

[enno1234]

Eine Appliancen Technik vorschalten und mit IOS 8.3 Viva VPN ins Internet oder auf E-Mail Host SMTP /Pop3

Öhm, ist das für mich als Privatanwender nicht etwas überdimensioniert?

 

[Ing Gerald Kohl]

Öhm, ist das für mich als Privatanwender nicht etwas überdimensioniert?

ZB
http://www.netgear.at/business/products/security/UTM10.aspx#tab-techspecs
Plus Verkabelung von 3M Telekomunikation CAT 6a oder Nexan CAT 6a oder RM Reichel& Massari Swiss CAT 6a oder SKG CAT 6a
http://www.telecom-buildingsystem.com/000001986709fa002/00000198670cc6005/index.html
http://www.amazon.com/NETGEAR-ProSecure-Appliance-1-year-Subscription/dp/B0029L69K8
Preis Kabel vom
Provider Modem
Zur Appliance Ca 3 Meter 24.- Euro inkl MwSt

 

[Grettir]

Öhm, ist das für mich als Privatanwender nicht etwas überdimensioniert?

Gewiss doch. Aber ist doch total cool. (Irgendwie fühle ich mich gerade an jene Kenner erinnert, die jedem, der fragt, womit er einen Einkaufszettel schreiben kann, LaTeX empfehlen. Die fahren vermutlich auch mit dem Tieflader zum Bäcker, um ihre Frühstücksbrötchen zu holen.) Übrigens sind die 1000.-$ zum Fenster rausgeschmissen, jedenfalls für dieses Problem. Da bringt diese Kiste nämlich logischerweise gar nichts.

 

[hilikus]

Eine Appliancen Technik vorschalten und mit IOS 8.3 Viva VPN ins Internet oder auf E-Mail Host SMTP /Pop3

Und was soll das in dem Fall bringen?

 

[slneu87]

Ist das nicht die wahrscheinlich schwerste Sicherheitslücke die es je in iOS gab? Und keinen hier interessiert es? Oder verstehe ich es einfach nicht und lasse mich vom Skandal-Journalismus von Spon täuschen?

Diese Forscher berichten sogar, dass sie eine App in den Store bringen konnten, die 1Password auslesen konnte....

 

[thorstenhirsch]

Da die Lücke nicht remote ausgenutzt werden kann, ist's doch gar nicht so schlimm. Außerdem habe ich gelesen (bitte korrigiert mich, wenn ich da falsch liege), dass man zuerst die angreifende App aufgerufen haben muss um einen initialen Eintrag im keystore für die Opfer-App zu generieren. Wenn man zuerst die Opfer-App startet, legt die einen normalen Eintrag im keystore an und ist nicht mehr angreifbar. Also das hört sich nach einem relativ schmalen Angriffsszenario an.

 

[Ing Gerald Kohl]

Und was soll das in dem Fall bringen?

Kurze Erklärung
DPI Deep Packet Inspection

Lässt sich die Zugriff Netzneutralität inkl jener Sharing der App die ungewöhnliche Netz Aktivitäten aufweisen Steuern ( zB ungewünschte Datennetzwerkverkehr
ZB Senden von Passwörtern Rootkit Passwörter von Verschlüsselungen wie SSL etc ( Deep Packet Inspection wird auch im Sinne der Rules als Netzwerk Überwachung Ebene zB
Nationale Überwachung Große Datenmauer Volksrepublik China und IRAN eingesetzt ( in der Form FPGA
Sonicwall E-Class oder Checkpoint Junipher und PaltoAlto )
LG
Ing Gerald Kohl
PS auf meiner Homepage ist die Technologie der Verschieden Appliance HA-Clustering für Deep
Packet Inspection beschrieben
Die Größen der Appliance sind dem Netzwerkverkehr und Datenvolumen inkl der Bandbreite der Bandbreiten
Steuerung und Bandbreiten Priorität angepasst und Cloud ( iCloud ) synchronisiert insbesondere in WLAN
Arena Network mit Apple Air Express
Time Capsule und Repeater als 802.11.ac oder 802.11.n !!!

 

[bowman]

Da die Lücke nicht remote ausgenutzt werden kann, ist's doch gar nicht so schlimm.

Genau, nur Online ist böse. Ich darf halt keine Programme/Apps mehr installieren - was solls...

Außerdem habe ich gelesen (bitte korrigiert mich, wenn ich da falsch liege), dass man zuerst die angreifende App aufgerufen haben muss um einen initialen Eintrag im keystore für die Opfer-App zu generieren. Wenn man zuerst die Opfer-App startet, legt die einen normalen Eintrag im keystore an und ist nicht mehr angreifbar. Also das hört sich nach einem relativ schmalen Angriffsszenario an.

Es sind insgesamt drei Angriffszenarien, die von Malware erstellbaren Password-Items sind nur ein Teil davon. U.A.ist auch die Interprozesskommunikation betroffen - so erfolgt beispielsweise der Angriff auf 1Password:

http://www.golem.de/news/security-zero-days-in-mac-os-x-und-ios-veroeffentlicht-1506-114729.html

 

[xentric]

Außerdem habe ich gelesen (bitte korrigiert mich, wenn ich da falsch liege), dass man zuerst die angreifende App aufgerufen haben muss um einen initialen Eintrag im keystore für die Opfer-App zu generieren. Wenn man zuerst die Opfer-App startet, legt die einen normalen Eintrag im keystore an und ist nicht mehr angreifbar. Also das hört sich nach einem relativ schmalen Angriffsszenario an.

Nope. Steht sogar im paper genau so NICHT beschrieben. Ein vorheriger Eintrag schützt nicht vor der angreifenden Application. Seite 4, rechte Seite.

Bin gespannt, im Paper klingt das eher nach nem echt fundamentiellen/konzeptionellen Problem, wann Apple das fixt, und ob es überhaupt geht, ohne sämtliche Apps abzuändern..
6+ Monate ist selbst für Apple ne lange Zeit. Glaub nur Oracle sitzt noch länger auf bekannten Sicherheitslücken.. und Oracle sollte echt kein Maßstab sein.

Ist das nicht die wahrscheinlich schwerste Sicherheitslücke die es je in iOS gab? Und keinen hier interessiert es? Oder verstehe ich es einfach nicht und lasse mich vom Skandal-Journalismus von Spon täuschen?

Diese Forscher berichten sogar, dass sie eine App in den Store bringen konnten, die 1Password auslesen konnte....

Edit:
Na ja, wer interessiert sich schon gerne für Sicherheitslücken/Sicherheit . Sind vermutlich nicht viele. Grüße an den Bundestag.

Ich schon, aber ich finde auch die RootPipe Lücke, die immer noch nicht gefixt ist, viel gravierender. Gut, betrifft nur OS X, aber trotzdem..

 

[xentric]

Diese Forscher berichten sogar, dass sie eine App in den Store bringen konnten, die 1Password auslesen konnte....

Die bestätigen sogar, dass es mehr eine konzeptionelle Lücke ist, die man ohne Apples Hilfe nicht so einfach lösen kann..

http://www.heise.de/mac-and-i/meldu...assword-bestaetigt-Schwachstelle-2717095.html

 

[thorstenhirsch]

Genau, nur Online ist böse. Ich darf halt keine Programme/Apps mehr installieren - was solls...

Wieso der Sarkasmus? Du hast die Kontrolle darüber, ob jemand die Sicherheitslücke ausnutzen kann oder nicht, daher ist's nicht so schlimm. Bei wirklich schlimmen Sicherheitslücken kannst Du gar nichts tun.