Und Apple ist 6 Monate untätig...
http://www.theregister.co.uk/2015/06/17/apple_hosed_boffins_drop_0day_mac_ios_research_blitzkrieg/

Wo wurde da Schlüsselbund geknackt? Der fummelt dir irgendwie einen Schlüssel in den Schlüsselbund mit einem merkwürdigen Programm, den er dann mit Chrome ausliest.

Knacken wäre für mich das: Du klaust die Schlüsselbunddatei und dechiffrierst sie. Oder du kannst mit jedem beliebigen Programm auf jeden Eintrag zugreifen ohne Abfrage.

Der Angriff läuft wie folgt:
1) Eine böswillige App löscht den Schlüsselbundeintrag eines anderen Programms und legt diesen Eintrag ohne Kennwort sofort wieder an, wobei es sich selbst auf die Liste der leseberechtigten Programme setzt.
2) Wenn der Benutzer sich später wundert, dass die automatische Verwendung dieses Kennworts nicht mehr funktioniert, gibt er erneut das richtige Kennwort an, so dass es wieder im Schlüsselbund steht.
3) Wird die böswillige App danach gestartet, hat sie Zugriff auf das unverschlüsselte Kennwort, an allen Schutzmechanismen vorbei.

Wenn man in den Schlüsselbund schaut, kann man irgendwie erkennen, was raus soll und was nicht?

Ein altes Thema: Bei der Sicherheit darf, kann, soll und muss Apple besser werden.

Wir können uns doch nur freuen, dass die wirklich lohnenden Ziele für Hacker und Geheimdienste (die über 90%-Anwender, der Bundestag, die großen Institutionen...) noch nicht MacOS einsetzen. Dann wär's mit der Ruhe in diesem Rechner-Eckchen wohl vorbei.
Also: Rechner-Preise hoch halten und unter oder um 5% bleiben, Apple!

Du hast keine Vorstellung, wie viele OS X Rechner bei den US Bundeseinrichtungen stehen.

hmmm, wurden nicht vor kurzem Millionen von Daten gekapert bei einer US-Bundeseinrichtung? Vielleicht ...
Und auch da kommt es ja auf das Verhältnis in der Infra-Struktur an und nicht auf die absolute Anzahl.

Unfassbar!

Dieser Fall lässt Apple einmal mehr als bornierten Dilettanten-Laden dastehen und wirft darüber hinaus kein gutes Licht auf die Unternemens-Kommunikation.

So verhalten sich kleine und große Strolche, aber keine verantwortungsbewussten Technologieführer, dachte ich bislang.

Hallo Tim! aufwachen!!!

Würde es anders formulieren. Bei der Sicherheit muss und sofort Apple besser werden.

Hallo Marcel, so ganz habe ich deinen Post noch nicht verstanden.

zu 1.: zum löschen eines Eintrages erscheint (bei mir zumindest) ein Dialogfenster wo ich mein Admin Pass eingeben muss? Wie "umgeht" die App dieses?
Bei mir ist in "Sicherheit" > Optionen dieses aktiviert


zu 3.: Wie kann man diese App erkennen?

Warum steht in der MTN Meldung, dass auch andere Programme wie 1Password betroffen sind? Passt irgendwie nicht zum Ablauf des Angriffs.

jogoto: Weil 1Password (Mini) Websockets für die Weitergabe der Daten an den Browser "missbraucht". Und das kann zur Zeit problemlos abgefangen werden, wenn das "böse Programm" vor 1Password Mini (damit ist das Menulet gemeint) startet.

Bei AgileBits gibt es auch eine Diskussion dazu:

Das kann nicht sein. Du hast möglicherweise den Systemschlüsselbund ausgewählt statt Deinen eigenen.

Von außen gar nicht. Aber nach einem Abgreifen des Kennworts wäre diese App zusätzlich zur "richtigen" App beim Schlüsselbundeintrag unter "Zugriff: Zugriff von diesen Programmen immer erlauben" aufgeführt.

Sehe grad, das es hier einen Thread dazu gibt. Habe es zwar schon in den News geschrieben, aber hier nochmal:
Also wenn ich mir das Video ansehe, dann läuft das aber anders ab:
1) bösartige App legt gefälschten Schlüsselbund ab
2) gutartige App fügt Passwort und sich selbst zu diesem Eintrag hinzu
=> Jetzt haben beide Zugriff auf den selben Eintrag!

Es ist nicht möglich einen "fremden" Eintrag ohne Autorisierung zu löschen! Zumindest habe ich das in meinen Apps nicht geschafft. Und der Nutzer wird gefragt, ob er auf den Schlüsselbund zugreifen darf (siehe Video bei iCloud). Problem ist ja, dass der Nutzer gar nicht versteht, was da von ihm verlangt wird und wer, wie, worauf zugreifen will und darf => User akzeptiert natürlich! Vielleicht sollte Apple lieber daran arbeiten, dass für den Nutzer verständlicher zu machen. Eine andere Lösung, wäre natürlich, dass Apple nicht den Eintrag aktualisiert, sondern vorher löscht. Damit hat die bösartige App keinen Zugriff. Jedoch wird beim nächsten Start der bösartigen App nachgefragt und der Nutzer akzeptiert (natürlich)

Es ist kein Fehler und keine Sicherheitslücke, sondern so gewollt

Die Forscher stellen insgesamt 4 völlig unterschiedliche Techniken vor, wie eine App an vertrauliche Daten einer anderen App kommen kann. Der Schlüsselbund ist nur einer dieser Verfahren.

Der Angriff auf 1Password funktioniert anders, nämlich über eine Man-in-the-Middle-App, die sich in eine HTML5-Websockets-Verbindung hängt.

Ich beziehe mich auf die Original-Veröffentlichung der Autoren. Dort werden noch viel mehr Angriffsvarianten vorgestellt.

???

Marcel_75@work, Marcel Bresink

Danke für die Infos!

Ok, der Originalartikel ist mir zu lang Aber ein Löschen (aus einer App heraus) ohne vorherige Meldung sollte eigentlich nicht möglich sein! Muss ich mal ausprobieren. Der Nutzer darf natürlich seine eigenen Einträge löschen, wie es ihm passt ... ohne Meldung.

Von AgileBits gibt es jetzt neben der Forums-Diskussion (bereits weiter oben verlinkt) auch einen Blog-Artikel zum Thema:

1Password inter-process communication: a discussion

Wie schon gesagt: Du arbeitest im falschen Schlüsselbund. Gemeint ist der Schlüsselbund "Anmeldung", nicht der Schlüsselbund "Lokale Objekte".

Hier auch noch einmal eine gute Zusammenfassung (für alle, die das Paper nicht komplett studieren wollen):