Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücke in App Store und iOS erlaubt Einschleusung von Programmcode

Wie Sicherheitsexperte Charlie Miller in einem Video demonstriert, existiert in App Store und iOS eine Lücke, die Angreifern die Einschleusung von schädlichem Programmcode erlaubt, mit dem die Kontrolle über das Multitouch-Gerät und Nutzerdaten erlangt werden kann. Eine harmlos erscheinende App kann demnach durch eine Sicherheitslücke weitere Software nachladen und so eine Hintertür im Multitouch-Gerät einrichten. Während des Prüfungsprozesses im App Store gaukelt der Angreifer ausschließlich ein harmloses Verhalten der App vor. Details zu den genutzten Sicherheitslücken will Miller kommende Woche auf der SyScan in Taiwan vorstellen. Eine zentrale Rolle bei dem Sicherheitsproblem soll die mit iOS 4.3 eingeführte JavaScript-Engine spielen. Unterdessen hat Apple bereits auf das Problem reagiert und Charlie Miller aus dem App Store verbannt sowie das Entwicklerkonto stillgelegt. Apple hat jetzt eine Woche Zeit, mit einem Update auf die Veröffentlichung der Sicherheitslücke zu reagieren.

Weiterführende Links:

Kommentare

BaziGeri061108.11.11 09:05
Na toll...
0
elBohu
elBohu08.11.11 09:06
Hä, was ist das denn für ein Mist?
Einer findet eine Lücke und wird zur belohnung gesperrt?
Oder hat er das erst veröffentlicht und dadurch Apple Kund getan?
wyrd bið ful aræd
0
Gerry
Gerry08.11.11 09:12
So wie ich das verstehe hat er es Apple nicht gesagt.
Warum kann man das nicht nur den zuständigen sagen und muss es gleich in die Welt hinaus schreien?
Damit man auch mal wichtig sein kann? Oder das gleich jede Menge Schadsoftware entwickelt wird?
0
Hannes Gnad
Hannes Gnad08.11.11 09:17
Liest sich ein bißchen wie das alte Spiel:
1. Security-Profi findet Lücke und meldet sie Apple.
2. Apple nimmt die Lücke zur Kenntnis - reagiert aber noch nicht.
3. Nach Ansicht des Security-Profis reagiert Apple nicht schnell genug.
4. Der Security-Profi unternimmt etwas, damit Apple reagieren muß, z.B. spricht öffentlich darüber, baut einen Proof-of-Concept etc.
5. Apple reagiert schnell - aber nicht technisch, sondern per Richtlinie, z.B. sperrt seinen Account.
6. Man hat den Eindruck, daß das alles hätte besser laufen können und müssen.

(Wenn man betrachtet, an wie vielen Exploits, die regelmäßig per Apples Updates geschlossen werden, angemerkt ist, daß die "Credits" dafür an Charlie Miller samt der Zero Day Initiative gehen, dann könnte man sich vorstellen, es gäbe ein gutes Verhältnis zwischen Apple und ihnen. Komisch.)
0
john
john08.11.11 09:37
charlie miller veroeffentlicht seine gefundenen luecken nicht einfach so.
er tritt immer an den betroffenen ran und verlangt geld fuers offenlegen.
hat er auch mal selbst so erklaert. wuerd ich an seiner stelle genau so machen. ist schliesslich arbeit exploits zu finden.
sperre find ich idt jedenfalls die komplett falsche reaktion. weder aus technischer sicht, noch erst recht aus pr-sicht.
biete support. kostenlos, kompetent und freundlich. wähle zwei.
0
jazzbox
jazzbox08.11.11 09:38
Die Sperre muss zurück genommen werden, sonst wird es lächerlich!
0
chessboard
chessboard08.11.11 09:39
Wenn ich den Forbes-Artikel richtig verstanden habe, hat Miller eine potentielle Malware-App ("sleeper app") bei Apple eingereicht, die auch tatsächlich im Appstore veröffentlicht wurde. Ich nehme mal an, dass er damit klar gegen die Developer-Richtlinien verstoßen haben wird und deshalb als Entwickler rausgeflogen ist.

Ein wenig ist das so, als ob einer im Kaufhaus beweisen will, wie leicht sich Waren klauen lassen, Ladendiebstahl begeht und sich dann hinstellt und lauthals auf den unaufmerksamen Kaufhausdetektiv aufmerksam macht. Das bleibt dann trotzdem Ladendiebstahl.

Meiner Meinung bekleckern sich da beide Seiten nicht gerade mit Ruhm.
0
Stresstest08.11.11 09:42
@chessboard

Sehe ich genau so. Er wurde gesperrt weil er die APP so wissentlich mit dem Schadcode veröffentlich hat, und nicht weil er die Schwachstelle an sich veröffentlich hat / veröffentlichen will.
0
jazzbox
jazzbox08.11.11 09:49
Ich sehe das nicht so. Charlie Miller musste die App einreichen, ansonsten hätte Apple immer behaupten können, dass die App nicht durch die Kontrolle gekommen wäre!
0
maliker08.11.11 09:54
@jazzbox

Gut das es eine Meinungsfreiheit gibt. Aber Klauen würde in dem Fall immer noch Klauen bleiben...
0
chessboard
chessboard08.11.11 09:59
jazzbox
Da muss es aber auch irgendwie andere Wege geben. Wenn Apple Miller offiziell beauftragt hätte, den Appstore oder iOS auf Schwachstellen hin abzusuchen, oder wie Google eine Art Preisgeld für das Aufstöbern von Sicherheitslücken ausgelobt hätte, wäre das was Anderes.

Ist ja schön und gut, dass sich Leute die Mühe machen, potentielle Gefahren aufzudecken. Die Frage ist aber, wie verantwortungsvoll mit dem Wissen um Lücken dann umgegangen wird. Ich bezweifle, dass es für das Gros der iOS-Benutzer hilfreich ist, die Lücken nach eigenem Ermessen der Öffentlichkeit (womöglich samt "Bauanleitung") zu präsentieren. So etwas kann auch ganz prima hinter den Kulissen gehandhabt werden und Miller kämme trotzdem zu einer angemessenen Honorierung seines Aufwands. Natürlich wäre sein Name dann wahrscheinlich nur in Fachkreisen bekannt .
0
Gerry
Gerry08.11.11 09:59
Finde die Sperre für richtig da er Apple ja die App. untergejubelt hat.
Ein Verstoß bleibt ein Verstoß.
Man kann ja auch nicht einbrechen gehen. Sich dann Brüsten weil man es geschafft hat und sich dann beschweren weil man eingesperrt wird.
0
jazzbox
jazzbox08.11.11 10:03
maliker

Was hat er denn geklaut?

Wie heißt es so schön: Nicht alles was hinkt, ist ein Vergleich!

Ich finde das jetzt wieder ein großartiges Beispiel, wie es falsch laufen kann: Der erste will nicht zur Sache argumentieren und bringt lieber einen Vergleich. Der Nächste nimmt dann einfach den Vergleich als Sachlage mit hinzu, seufz...
0
shetty08.11.11 10:11
Hat einer mal Miller gefragt, was er von der Sperrung seines Developer Accounts hält? Wahrscheinlich ist es ihm herzlich egal.
Er musste die Malware im Appstore veröffentlichen, um herauszufinden, ob sie überhaupt die Prüfung übersteht. Apple hingegen musste seinen Account löschen, weil sie ja schlecht zulassen können dass irgendwer Malware veröffentlicht. Ich weiß nicht was es da zu kritisieren gibt.

Hoffen wir bloß dass Apple die Sicherheitslücke schnell schließt.
0
chessboard
chessboard08.11.11 10:14
jazzbox
Wieso nicht zur Sache argumentieren? Die Frage ist doch, ob es OK ist, dass Apple seinen Account gelöscht hat. Wenn er mit der Einreichung einer "sleeper App" klar gegen die Developer-Richtlinien verstoßen hat, die er selbst akzeptiert hat (sonst hätte er keinen Account), dann fliegt er eben raus. Der Zweck heiligt eben nicht (immer) die Mittel.
Ein Vergleich hinkt immer, aber ich finde die Parallelen zu einem selbsternannten "Ladentester" sind schon da.

Edit: Und shetty hat Recht: Das Einzige, was wirklich interessiert, ist das schnelle Schließen der Lücke!
0
o.wunder
o.wunder08.11.11 10:24
Apple könnte froh sein das er diese Lücke aufgezeigt hat, allerdings hätte er sich ja erstmal nur an Apple wenden können.

Die Sperre halte ich für gerechtfertigt, weil er sich anscheinend nicht erst an Apple gewandt hat?

Hoffen wir mal das es nicht noch andere Sleeper Apps gibt. Es gibt da doch diese chinesische App die InApp Käufe tätigt...
0
Gerry
Gerry08.11.11 10:28
Von dieser App. hab ich gelesen. Allerdings gibt es die im Store gar nicht. Zumindest im Österreichischen.
0
user_tron08.11.11 10:39
Leute, nicht alles glauben was die Medien schreiben oder veröffentlichen. Bekannterweise wollen zur Zeit wieder Problememacher Apple ans Holz, siehe GoogleMotorola, Sicherheitsexperten etc.
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
jazzbox
jazzbox08.11.11 10:58
Hier ist das was Charlie selber dazu sagt:

Vom Exploit selber hat er Apple angeblich schon vor Wochen in Kenntnis gesetzt.

chessboard
Der Ladentestervergleich zieht hier IMHO nicht. Viel eher wäre es doch so, dass er etwas eigenes in den Laden reingeschmuggelt und dort aufgestellt hat, mit Preisschild und allem. Ich bin kein Jurist, aber wäre interessant, ob das überhaupt verboten ist...

Wer hat eigentlich Apple von der App in Kenntnis gesetzt? Doch wohl er selber und doch wohl auch hoffentlich sofort nachdem diese akzeptiert wurde. Dann (und nur dann) ist für mich das alles OK.

Außerdem würde mich interessieren, gegen welche Developer-Bestimmung er konkret verstoßen hat. Ich bin aber jetzt zu faul da nachzuschauen (ich muss jetzt weg).

0
Tiger
Tiger08.11.11 11:17
Apple ist doch bekannt dafür sehr, sehr sehr träge auf Sicherheitslücken zu reagieren.
Apple reagiert nur dann schnell wenn es schlechte PR gibt, wie zum Beispiel bei der Speicherung der Postitionsdaten.

Leider muss man Apple schon unter Druck setzen damit sie was tun. Denn nichts ist Apple wichtiger als das Bild des unangreibaren iOS. Und jetzt MUSS Apple zeigen wie wichtig ihnen Sicherheit ist, und das ist Apple sicher gar nicht recht.
0
Gerry
Gerry08.11.11 11:18
@ jazzbox

Wäre es für dich ok wenn ich in deine Wohnung einbreche, sie ausräume und dich dann davon in Kenntnis setzte?

Was er gemacht hat, war das er eine App. unter Vorspiegelung eines falschen Sachverhaltes an Apple gegeben hat. Das ist sehr wohl verboten. Wäre daraus wenn ein Schaden entstanden könnte am ohne Probleme Klagen.
Apple hätte ihn da übrigens auch Klagen können.
0
Muty08.11.11 11:25
Die Reaktion von Apple ist peinlich. Ich würde ab jetzt jede Sicherheitslücke direkt veröffentlichen. Wer sowas findet und darüber spricht, muss belohnt werden.
0
chessboard
chessboard08.11.11 12:32
jazzbox
Wenn man sich so Charlie Millers Tweets durchließt, dann macht er doch einen recht beleidigten aber ebenso naiven Eindruck.
O-Ton Miller:
I thought they'd just remove the app and we'd still be friends.
*facepalm*

Auch wenn er Apple VOR der Einreichung seiner Sleeper-App tatsächlich informiert haben sollte und Apple das nicht ernst genommen hat, bleibt das Einreichen einer App, die Code nachladen kann immer noch ein Verstoß gegen die Richtlinien. Und natürlich fühlt Apple sich dann auch noch zusätzlich versch***ert, wenn er diese Funktion heimlich durchbringen will. Soweit ich weiß, ist auch der Versuch einer Straftat strafbar. Auch wenn's juristisch keine Straftat sein sollte, so verstößt er mit dem Versuch Malware im App-Store zu platzieren garantiert gegen die "Hausordnung".

Stell Dir doch mal vor, jemand merkt, dass Du Dein Auto nicht abgeschlossen hast und der Schlüssel steckt. Er steigt ein und fährt erst mal 'ne Runde damit, bringt's zurück und erklärt dann, er wollte nur darauf aufmerksam machen, dass der Wagen nicht abgeschlossen war. "Hey, ich dachte, Du schließt jetzt Deinen Wagen einfach ab und wir sind weiter gute Freunde". Tolle Nummer!

Das Apple die Gefährdung durch die Sicherheitslücke (möglicherweise) nicht ernst nimmt, ist eine ganz andere Sache. Da erwarte ich als Kunde auch eine ganz schnelle Behebung. Zur Not sollen sie halt die Beschleunigung der JS-Engine wieder aufheben.
0
Thunderbolt08.11.11 12:47
Tiger

Die drei Wochen, die Miller gewartet hat bevor er seine App eingereicht hat, sind zuwenig, um so eine Lücke im grundlegenden Framework zu schliessen. Das besondere ist ja, dass Safari mit Javascript einen speziellen Speicherzugriff machen darf, was anderen Apps verboten bleibt. Das nutzt Miller aus.

Das fixt man nicht mal eben in ein paar Tagen und dann muss es ja auch noch getestet werden.
0
Gerry
Gerry08.11.11 13:20
Ich denke er wollte halt mal wichtig sein.

Wenn einen Apple zu langsam auf Sicherheitsprobleme reagiert ist das der falsche Weg.
Besser man schreibt es ihnen und sagt dazu das man verunsichert sei.

Allerdings kann ich mir das auch vorstellen das man das jetzt nicht in ein paar Tage ausmerzen kann. Da hat mein Vorredner wohl recht.
0
Tiger
Tiger08.11.11 14:27
Thunderbolt

Er wird selbst wissen, dass die Lücke nicht in drei Wochen geschlossen werden kann, deshalb denke ich nicht, dass er Apple drei Wochen Zeit gegeben hat um die Lücke zu schließen.
Es wird wohl eher an der Reaktion bzw. an mangelnder Reaktion auf seinen Bericht gelegen haben, dass er sich zu diesem Schritt entschlossen hat.

Dennoch ändert das nichts an der Tatsache, dass Apple generell sehr langsam bei Stopfen ist, das ist kein Geheimnis.
0
Quickmix
Quickmix08.11.11 14:32
Wenn Miller damit Geld verdienen möchte soll er doch eine Firma genau zu diesem Zweck gründen.
Dann können ihn alle interessierte Firmen je nach Bedarf beauftragen Sicherheitslücken. finden.
Alles Andere sieht eher wie ein Erpressungsveruch aus. Ich hab was gefunden, aber wen ihr wissen wollt was es ist und wie man es lösen kann zahlt erst mal.
0
Tiger
Tiger08.11.11 14:59
Sollten wir nicht eher froh sein, dass jemand Sicherheitslücken aufspürt und diese an den Hersteller weiterleitet? Es kommt doch uns als User zugute! Genauso hätte er seine Entdeckung einfach in einem Blog veröffentlichen können.

Da wird auf Miller rumgehackt und diskutiert, ob Apple richtig gehandelt hat seinen Account zu sperren anstatt darüber zu sprechen, dass die App problemlos durch Apple´s App Store Kontrolle gekommen ist.

Man hat den Eindruck einige fühlen sich auf den Schlipps getreten weil aufgezeigt wurde, dass auch ein geschlossenes System Lücken hat.

Klar, kein System ist zu 100% sicher, und im Gegensatz zu anderen Systemen ist iOS eine Festung, aber wenn ein Problem aufgedeckt wird dann ist es in unserem Interesse dass dieses Apple bekannt ist und schnell behoben wird.

Wenn es nicht anders möglich ist Apple zu einer schnellen Problemlösung zu bewegen dann finde ich es durchaus legitim etwas Druck aufzubauen.

Apple hätte die Lücke vermutlich wie immer mit dem nächsten Update geschlossen, dabei wäre es nötig, wie auch unter Mac OS, unabhängig von den normalen Updates Sicherheitspatches bereitzustellen.
0
Gerry
Gerry08.11.11 15:42
Mal eine andere Frage.
Wenn er das so macht das er die Sicherheitslücke nur gegen Bares offen legt. Ist er dann so eine Art moderner Schutzgelderpresser? Ohne ihn jetzt schlecht machen zu wollen.

Aber hat es da nicht geheißen das Apple immer davon ausgegangen ist das es mal eine App. reinschafften könnte wo im ersten Moment nicht ersichtlich ist was die genau macht. Und deshalb das ganze so aufgebaut ist das Apple jederzeit so eine App. von jedem iPhone sofort wieder löschen kann?
In dem Fall mussten sie nicht gleich mit Update kommen. So hätten sie Zeit genug das genauer durchzutesten.
0
sierkb08.11.11 15:43
heise: Charlie Miller zeigt Lücke im iOS-Codesigning

CNET News: Apple boots security guru who exposed iPhone exploit
Security researcher Charlie Miller has been ejected from participating in Apple's developer programs, shortly after releasing early findings of a security hole in the company's iOS software.

CNET News: iPhone security hole lets apps run unsigned code
A newly-discovered security hole in Apple's iOS opens up the door for third-party applications to add unapproved features, even after they've gone through Apple's App Store approval process.

Forbes: iPhone Security Bug Lets Innocent-Looking Apps Go Bad
Quickmix
Wenn Miller damit Geld verdienen möchte soll er doch eine Firma genau zu diesem Zweck gründen.

Miller arbeitet für diese Security-Firma: Accuvant , genauer: Accuvant Labs . Einer seiner vorherigen Arbeitgeber: NSA .

Miller wird die gefundene Lücke am 17./18. November im Rahmen der SyScan'11 Taiwan weiter diskutieren.

Einer seiner Auftraggeber war im Februar dieses laufenden Jahres -- Du wirst es nicht glauben oder schon wieder verdrängt/vergessen haben: Apple. Genauer gesagt: es war kein Auftrag gegen Geld sondern eine Einladung seitens Apple (wie Miller in untenstehenden Quellen schon sagt: normalerweise macht Apple sowas nicht, lädt keine externen Experten zu sich ein, und normalerweise muss man bei Apple dann zahlen, um dort so einen Code-Audit machen zu dürfen). Um Lion in der Pre-Release-Phase auf Schwachstellen hin zu überprüfen bzw. auf diesem Weg noch den einen oder anderen Rat von Miller & Co einzuholen. Der Rat/die Expertisen von Miller und Dino Dai Zovi waren Apple also in der Pre-Release-Phase von Lion sehr wichtig, sonst hätten sie die nicht zu sich eingeladen. Details und Ergebnisse wie üblich unter NDA stehend:

heise (27.02.2011): Sicherheitsexperten sollen Lion unter die Lupe nehmen

macobserver (25.02.2011): Apple Offers Lion Preview to Charlie Miller, Security Researchers

CNET News (24.02.2011): Apple shares Mac OS X Lion with security experts
Apple not only released a preview of its next operating system, Mac OS X Lion, to developers today, the company is also giving it to security experts for review.
Quickmix
Alles Andere sieht eher wie ein Erpressungsveruch aus. Ich hab was gefunden, aber wen ihr wissen wollt was es ist und wie man es lösen kann zahlt erst mal.

Beschäftige Dich mal mehr damit, wie diese Leute arbeiten. Charlie Miller ist für Apple alles andere als ein Unbekannter. Der und sein Umweld haben bis heute schon viele Lücken in Safari, iOS und MacOSX gefunden und sie stets brav an Apple meledet bzw. sich mit Apple ins Benehmen gesetzt. Und zwar rechtzeitig und mit einer ordentlichen Portion zeitlichen Vorlaufs. Und regelmäßig finden sich in Apples Release Notes zu den Security Updates zu Safari/iOS/MacOSX dann in den Credits die Namen dieser Leute wieder. Sprich: sie leisten wertvolle und richtige und wichtige Arbeit. Jedes einzelne Security Update seitens Apple ist ein Beweis dafür, wie recht diese Leute mit ihren Entdeckungen hatten. Wären das alles Lapalien, müsste es von Apple keine Security Fixes geben -- erst recht keine, die dann auch von Apple selbst die Kategorie "critical" zugeordnet bekommen.

Solche Leute wie Miller und Co. treten i.d.R. mit sowas i.d.R. sofort an den betreffenden Hersteller heran, offenbaren ihm die Entdeckung. Und geben dem Hersteller Zeit, diese Lücke zu fixen. Von Anfang an wird dem Hersteller die Gelegenheit gegeben, das Problem selber nachzuvollziehen und zu fixen. I.d.R. wird ein zeitlich befristetes "gentle agreement" vereinbart, welches dem Hersteller ausreichend Gelegenheit gibt, die Lücke zu schließen. Solange hält der Entdecker seinen Mund. Erst, wenn sich die vereinbarte Zeit dem Ende zuneigt oder gar bereits zu Ende gegangen ist, fängt er an, unruhiger zu werden und mit den Füßen zu scharren und öffentlich ein paar Minimal-Informationen durchzustecken, um den Handlungsdruck beim Hersteller zu vergrößern (dieses Erzeugen von Handlungsdruck, wenn sich der Hersteller zulange Zeit lässt bei einem Problem ist gut und kann nur im Interesse des Nutzers liegen!). Damit dieser sich nicht auf dem Problem ausruht und es einfach still aussitzt. Nach Ablauf der vereinbarten Stillhaltezeit (nicht selten ist irgendeine stattfindende Sicherheitskonferenz der zeitlich begrenzende Faktor, bis wohin ein solches Ablauf-Datum einvernehmlich terminiert ist). Am 14./15. November ist in Taiwan die SyScan 2011 . Charlie Miller wird dort sprechen und u.a. über diese gefundene iOS/AppStore-Lücke referieren: . Bis dahin hat Apple Zeit, die Lücke zu schließen. Bis jetzt weiß nur ein kleiner, ausgewählter Kreis von den Details dieses Problems wie und auf welchem Wege es genau funktioniert und sich reproduzieren lässt: Charlie Miller und Apple. Ab dem 14./15. wird der Kreis größer sein, ab da gilt dann kein Redeverbot mehr. Apple weiß das. Das ist mit an Sicherheit grenzender Wahrscheinlichkeit von Beginn an gegenseitig so abgesprochen. Bis dahin sollte Apple es geschafft haben, die Lücke nicht nur zu fixen, sondern diese auch per iOS-Update auf die Geräte seiner Nutzer gebracht haben.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.