Project Xara Forscher finden massive Schwachstellen in Apple-Software

Die Betriebssysteme von Apple sind anfällig.

(Foto: Bloomberg)
  • Forscher haben massive Lücken in Mac OS X und iOS gefunden. Ihnen ist es zum Beispiel gelungen, Passwörter abzufischen.
  • Apple wurde von den Forschern konfrontiert und versprach die Fehler zu beseitigen. Doch das passierte nicht.
  • Nutzer sollten sich nur auf Apps verlassen, deren Herstellern sie komplett vertrauen.

iOS und Mac OS Forschern zufolge grundlegend angreifbar

Sechs IT-Sicherheitsforschern ist es angeblich gelungen, grundlegende Schutzmechanismen von Apple außer Kraft zu setzen. Passwörter auf einem Macbook? Sind angreifbar. Daten, die in Apps gespeichert werden? Unbefugter Zugriff durch Dritte ist möglich. Die Absicherung des App Stores umgehen, um eine App hochzuladen, die Schadsoftware enthält? Auch das haben die Forscher hinbekommen, wie die Nachrichtenseite The Register berichtet.

Kurz: Die Lücken sind katastrophal. Die Forscher schildern ihren Fund in einem wissenschaftlichen Paper (hier der Link zur Datei) und sie lassen keinen Zweifel: "Durch unsere Forschung haben wir eine Reihe von Sicherheitslücken mit großer Wirkung entdeckt."

Apple hat nicht reagiert

Die Forscher haben nach eigenen Angaben Apple bereits im Oktober 2014 mit ihren Funden konfrontiert. Apple habe sich daraufhin einen Zeitraum von sechs Monaten erbeten, um die Fehler zu beheben. Das ist ein Vorgang, der in der Branche üblich ist. Firmen soll die Gelegenheit gegeben werden, ihre Produkte abzusichern, damit sie nicht von Kriminellen angegriffen werden können. Apple habe aber nach sechs Monaten nicht mehr reagiert - daher gehen die Forscher nun an die Öffentlichkeit. Das heißt aber auch: Apple-Software bleibt weiterhin anfällig und über diesen Weg angreifbar.

Apps überprüfen nicht, wer Daten will

Das Problem liegt den Forschern zufolge in der Art, wie Apps untereinander kommunizieren (der Fachbegriff lautet Cross-App Resource Access, die Forscher kürzen ihn mit Xara ab): Das Hauptproblem liegt darin, dass in den meisten Fällen weder das Betriebssystem noch die fehleranfällige App genau überprüfe, wer da genau nach Informationen oder Daten verlange. Man habe 1612 Apps für Mac OS und 200 Apps für iOS untersucht - die beliebtesten - und herausgefunden, dass knapp 89 Prozent der Anwendungen anfällig für Fehler gewesen sind.

Den Forschern ist es nach eigenen Angaben gelungen, auf Fotos zuzugreifen, die mit der Messaging-App WeChat aufgenommen wurden. Auch soll es möglich gewesen sein, Notizen zu speichern, für die Nutzer eine App namens Evernote verwendet haben.

Die Forscher haben in mehreren Videos gezeigt, wie sie die Lücken auch praktisch ausnutzen konnten - ihnen ist es nach eigenen Angaben auch gelungen, mehrere Apps, infiziert mit Schadcode, in den App Store von Apple hochzuladen - die Sicherheitsvorkehrungen wurden also umgangen. Insgesamt sechs Forscher waren an der Arbeit beteiligt. Sie arbeiten an der Indiana University, Peking University und dem Georgia Institute of Technology. Apple hat bis dato nicht auf Anfragen reagiert.

Was heißt das für Nutzer?

Für Nutzer gibt es momentan keine Möglichkeit herauszufinden, ob sie von dem Angriff betroffen sein könnten. Es ist daher empfehlenswert, nur diejenigen Apps installiert zu lassen, deren Herstellern man vertraut.