Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Passwortklau: Apple arbeitet an XARA-Fix für iOS und OS X

Das Vertrauen in die Sicherheit von iOS und OS X wurde letzte Woche erschüttert. Sicherheitsexperten wiesen Apple zwar schon im Herbst 2014 auf eine schwerwiegende Sicherheitslücke im Zusammenhang mit dem Auslesen von Kennwörtern hin – einen Bugfix blieb das Unternehmen aus Cupertino aber schuldig. Inzwischen scheint aber Bewegung in die Fehlerbehebung zu kommen.

Apple hat die "XARA-Sicherheitslücke“ mittlerweile offiziell bestätigt und versichert, an einem Fix zu arbeiten: „Wir haben im Mac App Store eine Server-seitige Sicherheitsaktualisierung implementiert, die App-Daten schützt und Anwendungen mit Sandbox-Konfigurationsproblemen blockt“, so ein Apple-Sprecher. „Wir arbeiten mit den Forschern zusammen, die uns auf das Problem aufmerksam machten. Es werden noch weitere Fehlerbehebungen folgen."

Der Bug im Zusammenhang mit Cross-App Resource Access (XARA) ermöglicht es Apps, die Sandbox von iOS und OS X zu durchbrechen und von anderen Programmen gespeicherte Passwörter auszulesen. Auch Kennwörter und Zugangsdaten, die per Browser im Schlüsselbund abgelegt wurden, sind betroffen. Bisher gibt es keinen wirksamen Schutz gegen XARA – die ausschließliche Verwendung vertrauenswürdiger Apps bekannter Hersteller minimiert aber zumindest die Angriffsfläche.

Weiterführende Links:

Kommentare

o.wunder
o.wunder22.06.15 12:48
Apple hat seit Oktober 2014 in der Sache nichts unternommen. Erst jetzt als es in der Öffentlichkeit bekannt geworden ist tut sich was. Nun ja, besser spät als nie.

Vielleicht sollten die Finder von Lücken sofort nach der Information von Apple die Öffentlichkeit informieren damit sich möglichst schnell was tut.
0
nowMAC22.06.15 12:52
o.wunder
Apple hat seit Oktober 2014 in der Sache nichts unternommen....

Wo steht das?
Ne Ne, seit Steve Jobs nicht mehr da ist....
0
Stereotype
Stereotype22.06.15 13:13
o.wunder

Und wie oft wurde seit 2014 die
0
LoCal
LoCal22.06.15 13:37
nowMAC
o.wunder
Apple hat seit Oktober 2014 in der Sache nichts unternommen....

Wo steht das?

Im Paper auf Seite 5:
We reported this vulnerability to Apple on Oct. 15, 2014, and communicated with them again in November, 2014 and early 2015. They informed us that given the nature of the problem, they need 6 months to fix it. We checked the most recent OS X 10.10.3 and beta version 10.10.4 and found that they attempted to address the iCloud issue using a 9-digit random number as accountName. However, the account- Name attribute for other services, e.g. Gmail, are still the user’s email address. Most importantly, such protection, based upon a secret attribute name, does not work when the attacker reads the attribute names of an existing item
and then deletes it to create a clone under its control, a new problem we discovered after the first keychain vulnerability report and are helping Apple fix it.


o.wunders Behauptung, dass Apple "seit Oktober 2014 in der Sache nichts unternommen" hätte natürlich nicht richtig macht.
Apple hat sehr wohl etwas unternommen, aber der Fix konnte wieder umgangen werden.

ich denke mal, dass o.wunder nur das liest was er will bzw. zusammenhänge nicht begreifen mag.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
o.wunder
o.wunder22.06.15 13:52
nowMAC
o.wunder
Apple hat seit Oktober 2014 in der Sache nichts unternommen....

Wo steht das?

Apfelpage » Sicherheitslücke: iOS/OS X anfällig für Passwort-Diebstahl http://www.apfelpage.de/2015/06/17/sicherheitsluecke-iosos-x-malware-zieht-passwoerter-aus-jeder-app/?dea=1?deactivateIphoneApp=1


LoCal
Meinst Du nicht das sie in 9 Monaten einen kompletten Fix hätten realisieren können?
0
PaulMuadDib22.06.15 14:25
o.wunder
LoCal
Meinst Du nicht das sie in 9 Monaten einen kompletten Fix hätten realisieren können?
Ohne jemanden in Schutz nehmen zu wollen, aber das kann man von außen nicht so einfach beantworten. Was ist, wenn es ein so tiefgreifendes Problem ist, daß massenweise Code angepasst werden muß? Was ist, wenn es ein konzeptionelles Problem ist? Dann kann man das mal eben nicht einfach so über Nacht ändern. Wird leider immer wieder vergessen.
0
Tzunami
Tzunami22.06.15 16:38
PaulMuadDib
o.wunder
LoCal
Meinst Du nicht das sie in 9 Monaten einen kompletten Fix hätten realisieren können?
Ohne jemanden in Schutz nehmen zu wollen, aber das kann man von außen nicht so einfach beantworten. Was ist, wenn es ein so tiefgreifendes Problem ist, daß massenweise Code angepasst werden muß? Was ist, wenn es ein konzeptionelles Problem ist? Dann kann man das mal eben nicht einfach so über Nacht ändern. Wird leider immer wieder vergessen.

Und welchen Grund gibt es dann die Rootpipe-Lücke unter 10.9 nicht zu fixen, oder neue Firmware für die EFI Lücke bereit zu stellen? Jaja, es ist halt sehr aufwendig…

Komisch das ein paar Opensource Hansels für 10.9 einen Rootpipe-Fix innerhalb von einer Woche bereitstellen konnten (sie geben zwar zu das der Fix, in der kurzen Zeit, keinen Perle der sauberen Programmierkunst geworden ist, aber er funktioniert).

Die Faktenlage ist einfach, Apple geht den Weg des geringsten Widerstandes, und macht nur so viel wie nötig.

Der Rootpipe fix für 10.10 soll sich nach einigen Aussagen auch umgehen lassen.

Zum Thema aufwendig: Viele User zahlen erheblich mehr Geld für einen Apple Laptop, nur um OSX zu nutzen. Aber wenn dieser Vorteil einmal wegfällt, gibt es auch sehr nette Laptops von anderen Herstellern, daher sollte Apple sich darüber auch mal Gedanken machen.
0
tranquillity
tranquillity22.06.15 17:05
Wenn doch mal alle Schmalspur-Kommentatoren hier für Apple programmieren würden ... OS X wäre das sicherste, tollste und schnellste OS weit und breit ...

Dass es etwas anderes ist, mal eben einen Patch zusammen zu bröseln als so etwas für zig Duzende, Tausende, wenn nicht Millionen Hardware/Software-Kombinationen zu entwickeln, gerade angesichts der Tiefe des Problems, scheint aber außerhalb des Vorstellungshorizonts zu liegen.

Dann kommen nämlich die Schnellschuss-Updates, die dann bei 20% nicht funktionieren, und das Geschrei ist nicht minder groß.
0
LoCal
LoCal22.06.15 17:07
o.wunder
LoCal
Meinst Du nicht das sie in 9 Monaten einen kompletten Fix hätten realisieren können?

Apple war ja der Meinung, dass sie es gefixt hätten, dann haben nach 9 Monaten die Forscher noch mal drauf geschaut und festgestellt, dass da immer noch eine Lücke ist … aber die war etwas anders.

Du kannst es Dir vielleicht so vorstellen:

Du baust bei dir zuhause einen neuen Schliesszylinder in deine Haustür.
Nun meinst Du dein Haus sei sicher
Dann kommt jemand und sagt: "Der Zylinder steht aussen über, den kann ich mit ner Zange rausziehen!"
Also baust du ein dickeres Blatt auf die Tür und der Zylinder ist nun plan … und du fühlst dich sicher.







Nun kommt aber wieder der, der Dich vorher auf den Fehler hingewiesen hat und sagt: Ok, ich kann ihn nicht mehr rausziehen, aber ich kann ihn weiterhin reindrücken …
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
Geegah
Geegah22.06.15 17:10
Meine Meinung: egal wie tief im System verwurzelt oder konzeptionell das Problem auch ist, nach 9 Monaten und über mehrere Systeme hinweg (10.9-10.11) so einen Fehler nicht zu beseitigen ist ein Armutszeugnis oder halt auch einfach Ignoranz oder Hochnäsigkeit...

Wenn das so weitergeht, na danke
0
sierkb22.06.15 18:19
The SafeMac (17.06.2015): Multiple vulnerabilities found in Mac OS X
A group of six researchers at several universities in the US and China published a paper last weekend revealing the details of several different vulnerabilities in Mac OS X. These vulnerabilities all provide ways for a malicious app to gain access to data from another app. Frighteningly, these vulnerabilities can be exploited from a Mac App Store app, and can even allow an attacker to gain access to keychain entries!
All four of these vulnerabilities are very serious. Worse, they all can be exploited by Mac App Store apps. The researchers behind the paper were able to get apps into the App Store that included all of these exploits. (Those apps were pulled from the App Store by the researchers as soon as they were approved.) Even worse, Apple has known about these issues for 6 months, yet there are still no fixes in place.
Benutzer Timothy im Kommentarbereich zur Meldung
This is more than just a bug in some code {GotoFail was an inexcusable bug) .
In my opinion, this is indicative of a total disregard for security and integrity at every stage from the design and coding of Gatekeeper to the App Store review process. This is multiple failures in multiple areas. As someone who has been using Mac’s exclusively since 1987, I no longer have confidence in Apple.
Quelle:





Broken by design.
0
Siganomas
Siganomas22.06.15 18:31
„Wir arbeiten mit den Forschern zusammen, die uns auf das Problem aufmerksam machten. Es werden noch weitere Fehlerbehebungen folgen."

Also die Forscher melden Apple den Fehler und geben ihnen eine gewisse Zeit bevor sie er veröffentlichen. Das ist ja OK und auch üblich so.

Aber nach den Aussagen von Apple arbeiten sie selbst (mit Apple) an einer Lösung und veröffentlich die Lücke trotzdem?

Finde nur ich das etwas komisch?
Ich setzte mich doch nicht selbst unter Druck!?
Ich werde mich diesem verbrecherischen Missbrauch nicht beugen.
0
sierkb22.06.15 18:46
Siganomas:
Also die Forscher melden Apple den Fehler und geben ihnen eine gewisse Zeit bevor sie er veröffentlichen. Das ist ja OK und auch üblich so.

Apple hat auch hier wieder sogar mehr Zeit eingeräumt bekommen als es üblich ist. Es gibt Hinweise, dass da gewisse Schwächen schon länger bekannt sind als lediglich 6 Monate, auch Apple schon länger bekannt. Die 6 Monate sind also konservativ gerechnet. Und auch 6 Monate sind im Grunde schon länger als üblich zu gestanden zu Apples Gunsten, 6 Monate sind keinesfalls unbedingt üblich, üblich sind eigentlich weniger, nämlich 3 Monate, mit 6 Monaten ist man schon sehr entgegenkommend und gnädig mit Apple – irgendwann ist dieser Vertrauens- und Sympathiekredit, der Apple da entgegengebracht wird auch erschöpft, dann muss gehandelt werden, grad' wenn man Mitwisser ist. Aus einem gewissen Verantwortungsgefühl heraus den Benutzern gegenüber, wenn schon Apple keines an den Tag legt. Kein Gewissen kann sowas dann länger mittragen, derlei Lücken noch länger unter dem Deckel zu halten und Apple noch weitere Zeit einzuräumen, das auszusitzen und nicht wenigstens ein vorübergehendes Pflaster an die Nutzer (und zwar alle und sämtlich betroffene Produktlinien betreffend!) auszugeben, das das Schlimmste erstmal verhindert.
Aber nach den Aussagen von Apple arbeiten sie selbst (mit Apple) an einer Lösung und veröffentlich die Lücke trotzdem?

Weil's langsam Zeit wird, dass da mal Bewegung in die Sache kommt und Apple in Wallung kommt und echte Ergebnisse zu den Benutzern rüberschiebt statt diese noch länger im Regen stehen zu lassen.

Apple wird jetzt, nachdem sie über Monate hinweg die Forscher mit ihren Erkenntnissen ignoriert und auf deren Hinweise nicht oder nur schleppend reagiert haben, aufgrund der nun erfolgten Öffentlichmachung und des öffentlichen Drucks (da sind offenbar 0-days drunter, Proof of Concepts und Exploits gibt es somit bereits), sich bei den Forschern endlich gemeldet haben nach dem Motto: "Bitte helft uns! Schnell!"

Apple reagiert auch hier offenbar immer erst dann spürbar, wenn man sie öffentlich an den Pranger stellt und somit (Handlungs-)Druck erzeugt, solange sitzt Apple das aus und lässt seine Benutzer im Regen stehen. Die kaufen das Zeugs doch eh auch so, also warum beeilen?
0
PaulMuadDib22.06.15 21:30
Tzunami
Und welchen Grund gibt es dann die Rootpipe-Lücke unter 10.9 nicht zu fixen, oder neue Firmware für die EFI Lücke bereit zu stellen? Jaja, es ist halt sehr aufwendig…

Komisch das ein paar Opensource Hansels für 10.9 einen Rootpipe-Fix innerhalb von einer Woche bereitstellen konnten (sie geben zwar zu das der Fix, in der kurzen Zeit, keinen Perle der sauberen Programmierkunst geworden ist, aber er funktioniert).

Die Faktenlage ist einfach, Apple geht den Weg des geringsten Widerstandes, und macht nur so viel wie nötig.

Der Rootpipe fix für 10.10 soll sich nach einigen Aussagen auch umgehen lassen.

Zum Thema aufwendig: Viele User zahlen erheblich mehr Geld für einen Apple Laptop, nur um OSX zu nutzen. Aber wenn dieser Vorteil einmal wegfällt, gibt es auch sehr nette Laptops von anderen Herstellern, daher sollte Apple sich darüber auch mal Gedanken machen.
Du hast leider ganz und gar nicht verstanden, was ich meinte.
0
PaulMuadDib22.06.15 21:32
Geegah
Meine Meinung: egal wie tief im System verwurzelt oder konzeptionell das Problem auch ist, nach 9 Monaten und über mehrere Systeme hinweg (10.9-10.11) so einen Fehler nicht zu beseitigen ist ein Armutszeugnis oder halt auch einfach Ignoranz oder Hochnäsigkeit...

Wenn das so weitergeht, na danke
Tja, dann sag mal, ob Du einen tieferen Einblick hast, dies beurteilen zu können.
0
sierkb22.06.15 23:01
PaulMuadDib
Was ist, wenn es ein so tiefgreifendes Problem ist, daß massenweise Code angepasst werden muß? Was ist, wenn es ein konzeptionelles Problem ist? Dann kann man das mal eben nicht einfach so über Nacht ändern. Wird leider immer wieder vergessen.

Dann hätte Apple so richtig, richtig, richtig, richtig Scheiße gebaut. Weil gleich mehrfach und so grundlegend und tiefgreifend und konzeptionell. Und müsste dafür noch viel mehr geprügelt werden als ohnehin schon und mit deftigem Liebesentzug seitens der Nutzer bestraft werden.
Eben weil sie stets das Maul so sehr aufreißen und sich gerne über andere erheben und besser wähnen als sie, und eben weil sie so sehr viel Geld scheffeln und vor Kraft kaum laufen können, dieses Geld aber offenbar lieber einsetzen, um sich dicke repräsentative Paläste zu bauen statt es einzusetzen, um die Produktqualität und Produktsicherheit zu verbessern. Wird ja offenbar auch so gekauft, das Blendfeuerwerk, das die Marketing-Abteilung da immer abfeuert, funktioniert ja auch so, und die Nutzer lassen sich gerne blenden vom schönen Schein, der offenbar eben immer öfters und nicht lange zu verbergen trügt und es unter der glitzernden Oberfläche eben ganz anders und weniger glänzend aussieht, weil man da gerne spart und sich offenbar zu fein dafür ist, da Arbeit reinzustecken, es würde ja Arbeit machen und Mühe kosten und sich nicht direkt bezahlt machen. Wird doch sowieso brav und gläubig von den Usern, die dem Marketing-Geklingel bedingungslos, treudoof und unkritisch erlegen sind, gekauft und selbst die schwerwiegensten Fehler bis aufs Messer gegen Kritiker verteidigt (Schuld sind immer nur die anderen).
PaulMuadDib
Du hast leider ganz und gar nicht verstanden, was ich meinte.

Siehe zuvor Gesagtes. Wolltest Du das gerne als Antwort auf Deine gestellten Fragen haben? Bitte. Kannste haben.
0
PaulMuadDib23.06.15 08:15
sierkb
Dann hätte Apple so richtig, richtig, richtig, richtig Scheiße gebaut. Weil gleich mehrfach und so grundlegend und tiefgreifend und konzeptionell.
Woher willst Du das wissen? Ich meine das nicht mal speziell auf Apple gemünzt, sondern allgemein.

Ich kenne diese Problematik aus meine Berufsleben. Da kommt ein außenstehender und meint: "So ne Windows-Rollout-Konfiguration haste doch in ein paar Tagen durch". Leider sieht die Realität völlig anders aus. In Wirklichkeit braucht dieser Prozess Monate. Eben weil es dabei nicht bloß um das Windows an sich geht. Aber das haben die nicht im Blick.

Deswegen finde ich es immer wieder belustigend, wenn jemand behauptet: "Das bekommt man doch ruck-zuck geflickt. Man habe die Scheiße gebaut.". Da geht mir einfach der Hut hoch.
0
LoCal
LoCal23.06.15 09:14
PaulMuadDib
Deswegen finde ich es immer wieder belustigend, wenn jemand behauptet: "Das bekommt man doch ruck-zuck geflickt. Man habe die Scheiße gebaut.". Da geht mir einfach der Hut hoch.

+1
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
sierkb23.06.15 13:10
PaulMuadDib:

Du missverstehst mich. Es geht nicht darum, dass Apple es nicht ruck-zuck hinbekommt. Damit wären sie ja sogar noch realtiv entlastet. Nein, andersherum wird ein Schuh draus. Wenn das Problem offenbar so dermaßen tiefgreifend ist, dass sie es eben nicht ruck-zuck hinbekommen, dann scheint da also so richtig tiefgreifend etwas im Argen zu liegen, das heißt, das gesamte Betriebssystem ist in wesentlichen Teilen sicherheitstechnisch vor die Wand gefahren und weist ganz wesentliche Designfehler auf. Und zwar so dermaßen, dass das halt nicht mal eben schnell an der Oberfläche geflickt werden kann, sondern das gesamte Betriebssystem muss/müsste in seiner Aufstellung in seinen wesentlichen Zügen neu überdacht und umstrukturiert werden. In dem Fall würde zutreffen: Apple hat richtig richtig richtig Scheiße gebaut. Und Anzeichen in genau dieser Richtung mehren sich halt, dass dem so ist.
Und Apple weiß davon offenbar schon länger. Und zeigt bisher auch in den Betas des kommenden 10.11 El Capitan offenbar keinerlei Anzeichen dafür, dass sie hier bisher strukturell etwas geändert haben, sondenr das Betriebssystem mit eben genau denselben Schwachstellen weiter in die nächste Runde bringen, ohne erkennen zu lassen, dass sie an dem Grundproblem, das hier offenbar vorliegt, bisher irgendetwas geändert haben.
Und wenn das zutreffen sollte, und bisher ist leider nichts Gegenteiliges, nichts wirklich Entlastendes sichtbar, noch nicht mal in den in die Zukunft gerichteten Developer Betas, dann wäre der Vorwurf, dass Apple hier richtig richtig richtig Scheiße gebaut hat und das Ganze, zutreffend.

Je länge Apple dafür braucht, weil die Begründung heißt, das Problem sei so komplex, umso weniger sollten Du und ich uns drüber freuen, und umso größer ist der Vorwurf, der Apple da zu machen ist. Weil sowas einfach nicht passieren darf. Erst recht nicht Apple. Und erst recht nicht dieser Firma, die sich so sehr erhoben hat und erhebt über andere bei ähnlichen Problemen und daraus Kapttal schlägt und die Marketing-Maschine glühen lässt und den Nutzern über Jahre das Gefühl gibt, man sei besser, man könne es besser als die anderen. Hundsfurze kann Apple besser! Alles mehr Schein als Sein bei Apple und viel viel Marketing und überzogene Versprechen! Die Oberfläche glänzt, und darunter sieht's oft sehr düster und unsauber aus. Das ist leider die traurige Realität. Apple blendet gerne sehr viel. Und die Nutzer lassen sich gerne blenden vom schönen Schein. Leider.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.