Ausbruch aus der Sandbox: Sicherheitslücke in "Kurzbefehle"-App

Die iOS-App "Kurzbefehle" ("Shortcuts") ist nützlich, weist aber offenbar eine Schwachstelle auf. Wird diese ausgenutzt, können unter bestimmten Voraussetzungen Nutzerdaten, die auf einem iPhone oder iPad gespeichert sind, in fremde Hände gelangen. Angreifer sind allerdings auf die aktive Mithilfe des Gerätebesitzers angewiesen.


Lücke in der Ordnererstellung
Viele Besitzer eines Smartphones oder Tablets aus dem Hause Apple nutzen "Kurzbefehle", um wiederkehrende Abläufe auf ihrem Gerät zu automatisieren. Eine der Aktionen, die die App zur Verfügung stellt, ist die Erstellung eines Ordners. In dieser klafft eine Lücke, die der Sicherheitsexperte @userlandkernel jetzt entdeckt und auf Twitter veröffentlicht hat.


In der "Kurzbefehle"-App klafft eine Sicherheitslücke.

Zugriff auf Systemdateien
Die Schwachstelle kann ausgenutzt werden, um auf Systemdateien zuzugreifen, die unter normalen Umständen nicht zugänglich sind, da alle iOS-Apps in einer Sandbox laufen, die sie vom System und anderen Apps fernhält. Dazu genügt es, sich in der Kurzbefehle-App mit dem wiederholten Einsatz der Anweisung "../" in der Ordnerhierarchie des Systems nach oben zu bewegen. Auf diese Art und Weise gelangt ein Angreifer in jedes gewünschte Verzeichnis - und eben auch in die Systemordner.

Baseband-Firmware ausgelesen
@userlandkernel hat unter anderem einen Kurzbefehl veröffentlicht, mit dem die Baseband-Firmware ausgelesen wird. Damit könnten Angreifer an äußerst sensible Informationen gelangen, etwa SMS-Inhalte oder Analysedaten. Auch auf die HomeKit-Einstellungen kann zugegriffen werden.

Ausnutzung nicht aus der Ferne möglich
Die gute Nachricht: Die Sicherheitslücke lässt sich nicht aus der Ferne ausnutzen, ohne dass ein iPhone- oder iPad-Besitzer zuvor selbst aktiv wurde. Zunächst einmal handelt es sich nicht um eine Sicherheitslücke in iOS selber, sondern in der "Kurzbefehle"-App. Diese gehört nicht zu den Standardanwendungen auf Apples Geräten, sondern muss aus dem App Store heruntergeladen werden. Eine Gefahr besteht darüber hinaus nur, wenn man - etwa aus dem Internet heruntergeladene - Kurzbefehle einsetzt, die die Sicherheitslücke ausnutzen. Apple hat auf die Veröffentlichung der Sicherheitslücke bisher nicht reagiert.

Kommentare

aMacUser
aMacUser23.01.19 18:00
MTN
Zunächst einmal handelt es sich nicht um eine Sicherheitslücke in iOS selber, sondern in der "Kurzbefehle"-App. Diese gehört nicht zu den Standardanwendungen auf Apples Geräten, sondern muss aus dem App Store heruntergeladen werden.
Aber genau deswegen ist es doch ein Fehler in iOS. Eine App aus dem App Store sollte niemals auf das System zugreifen dürfen. Im Grunde ist das ja ein Ausbruch aus der Sandbox, was iOS verhindern müsste.
+6
sierkb23.01.19 18:53
heise (22.01.2019): Remote-DoS-Angriff auf mobilen Safari-Browser
Ein Sicherheitsforscher hat eine Lücke in Apples iPhone-Surfwerkzeug gefunden, die den Browser aus der Ferne die Arbeit verweigern lässt – und das persistent.

heise (21.01.2019): Apples Kurzbefehle-App: Shortcuts können geschützte iPhone-Dateien abgreifen
Manipulierte Shortcuts können aus Apples Sandbox ausbrechen und so auf Systemdateien mit persönlichen Nutzerdaten zugreifen, warnen Sicherheitsforscher.
MTN
[…]
Ausnutzung nicht aus der Ferne möglich

Die gute Nachricht: Die Sicherheitslücke lässt sich nicht aus der Ferne ausnutzen, ohne dass ein iPhone- oder iPad-Besitzer zuvor selbst aktiv wurde. Zunächst einmal handelt es sich nicht um eine Sicherheitslücke in iOS selber…
[…]

versus
heise
In Apples mobilem Safari-Browser steckt eine offenbar bislang noch ungepatchte Lücke, die Denial-of-Service-Angriffe aus der Ferne ermöglicht. Das berichtet der Sicherheitsforscher und Hacker @userlandkernel, der in dieser Woche schon einen Fehler in Apples Kurzbefehle-App öffentlich gemacht hatte, über den sich eigentlich geschützte iOS-Daten abgreifen lassen.

Persistent auch über Neustarts hinweg

Detaillierte Angaben zu dem Safari-Problem wurden bislang noch nicht bekannt. Laut @userlandkernel steckt der Bug im URL-Parser samt dem von Safari unterstützten FTP-Protokoll. Vermutlich wird der Angriff über einen Link verteilt. Nutzer seien nach Ausführung nicht mehr in der Lage, Safari zu verwenden, zudem stürze der Browser bei jedem Versuch, ihn erneut zu öffnen, wieder ab, schreibt der Sicherheitsforscher auf Twitter, der auch eine lange Liste von Absturzberichten präsentierte. Selbst über Resprings der Home-Bildschirme beziehungsweise Neustarts des iOS-Geräts erhalte sich das Problem, da die State-Datenbank missbraucht werde.

Apple wurde über den Bug bereits informiert, der Entdecker will vor einem Fix keinen Exploit publizieren ("Diesen DoS zu missbrauchen, wäre Malware"). Entsprechend ist damit zu rechnen, dass das Problem bald behoben wird. In iOS 12.1 ist der Bug noch enthalten.

[…]

FTP-Handling-Problem verrät System-Partition

@userlandkernel hat auch noch einen zweiten Programmierfehler im FTP-Handling in Safari gefunden , der schon "seit Ewigkeiten" bestehe. Dabei nutzt der Browser einen lokalen Pfad statt den entfernten und verrät dadurch die System-Partition beziehungsweise den aktuellen APFS-Snapshot.

Der in dieser Woche von @userlandkernel publizierte Bug in der Kurzbefehle-App muss von Apple ebenfalls schnell behoben werden. Solange sollten sich Nutzer nicht auf aus dem Internet heruntergeladene Shortcuts verlassen. Der Sicherheitsforscher konnte eine einfache Directory-Traversal-Lücke präsentieren, mit der es Shortcuts möglich wird, im System herumzuspazieren und auch Apples eigentlich sichere Sandbox zu durchbrechen. Gefundene, sensible Daten lassen sich dann mittels Shortcut auch gleich an einen Angreifer senden.
-9
ocrho23.01.19 20:44
An diesem Sicherheitsupdate ist erkennbar, dass Kurzbefehle zuerst von einer Drittfirma entwickelt wurde – wenn das Apple von Grund auf gebaut hatte (statt aufzukaufen), dann würde es diese Sicherheitslücken auf unteren Ebenen nicht geben.
-7
MLOS23.01.19 21:25
ocrho

Was hat das denn damit zu tun? Sierkb's informative Auszüge zeigen doch genau das Gegenteil deiner Aussage. Oder wurde Safari auch aufgekauft?
"Es ist ein unerwarteter Fehler aufgetreten" - Welche Fehler wurden denn erwartet?
0
gegy
gegy24.01.19 09:24
Kann mir jemand sagen, wo ich das coole Hintergrund bild vom rechten Screenshot herbekomme?
0
kraut24.01.19 09:34
Wenn schon eine App von Apple selbst so eine Sicherheitslücke hat, welches Licht wirft das auf Apps von Fremdanbietern und deren Bugs?
-4
LoCal
LoCal24.01.19 09:40
ocrho
An diesem Sicherheitsupdate ist erkennbar, dass Kurzbefehle zuerst von einer Drittfirma entwickelt wurde – wenn das Apple von Grund auf gebaut hatte (statt aufzukaufen), dann würde es diese Sicherheitslücken auf unteren Ebenen nicht geben.

kraut
Wenn schon eine App von Apple selbst so eine Sicherheitslücke hat, welches Licht wirft das auf Apps von Fremdanbietern und deren Bugs?


Das ist beides Unsinn … es ist eher so, dass die App eben weil sie von Apple ist Sonderrechte hat. "Normale" Apps können nicht aus ihrer Sandbox raus … ein "..\..\..\" oder ein "\System" ist da nicht möglich.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+2
CooperCologne24.01.19 10:00
gegy
Kann mir jemand sagen, wo ich das coole Hintergrund bild vom rechten Screenshot herbekomme?
https://www.applezein.net/wordpress/278660/sfondi-iphone-x-i os-11-2-wallpapers/
+1
My2Cent24.01.19 12:09
ocrho
An diesem Sicherheitsupdate ist erkennbar, dass Kurzbefehle zuerst von einer Drittfirma entwickelt wurde – wenn das Apple von Grund auf gebaut hatte (statt aufzukaufen), dann würde es diese Sicherheitslücken auf unteren Ebenen nicht geben.

Wenn du recht hättest müsste man befürchten, dass alle Apps die nicht von Apple entwickelt wurden potentiell gefährlich sind.
0
gegy
gegy24.01.19 12:43
CooperCologne
gegy
Kann mir jemand sagen, wo ich das coole Hintergrund bild vom rechten Screenshot herbekomme?
https://www.applezein.net/wordpress/278660/sfondi-iphone-x-i os-11-2-wallpapers/

SUPER! Danke!
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen