Eine Gruppe von sechs Universitätsforschern behauptet, die strengen App Store-Genehmigungsverfahren von Apple erfolgreich umgangen zu haben, um Mac- und iOS-Malware-Apps zu veröffentlichen. Dem Bericht zufolge präsentierte das Team Apple die Zero-Day-Sicherheitslücke bereits im Oktober 2014 und wurde aufgefordert, mindestens sechs Monate lang darüber Stillschweigen zu bewahren.
Luyi Xing, ein Sicherheitsforscher, der geholfen hat, die Zero-Day-Schwachstelle aufzudecken, hat noch immer keine Rückmeldung von Apple zu einer möglichen Lösung.
Das Team sagte, dass wegen Apples gefährliche Sicherheitslücke, ist es möglich, den iCloud-Schlüsselbund zu überfallen und die Passwörter eines Benutzers zu stehlen. Theoretisch können sie sich auch direkt am App Store-Genehmigungsprozess vorbeischleichen, um Malware in die Hände von jedem zu bringen, der die bösartige App unwissentlich herunterlädt.
Schlimmer noch, die Forscher konnten Sandboxen knacken und die Möglichkeit entdecken, Passwörter von jeder App auf dem iPhone, vorinstalliert oder von Drittanbietern, zu stehlen.
„Kürzlich haben wir eine Reihe überraschender Sicherheiten entdeckt Sicherheitslücken in Apples Mac OS und iOS, das es einer bösartigen App ermöglicht, unbefugten Zugriff auf die sensiblen Daten anderer Apps zu erlangen, wie z als Passwörter und Token für iCloud, Mail-App und alle von Google Chrome gespeicherten Web-Passwörter“, Xing erzählt Das Register.
Er fügte hinzu, dass sein Team „neue Schwächen in den Kommunikationsmechanismen zwischen Apps auf dem Betriebssystem identifiziert hat“. X und iOS, die verwendet werden können, um vertrauliche Daten von Evernote, Facebook und anderen hochkarätigen zu stehlen Apps.“
Die sechs Forscher, die den Zero-Day entdeckt haben veröffentlichte ihre Ergebnisse in einem 13-seitigen Dokument „Unauthorized Cross-App Resource Access on MAC OS X and iOS“. Bisher AgileBits, Schöpfer von 1Password und Das Chromium-Sicherheitsteam von Google hat eingeräumt, dass ein Sicherheitsproblem dieser Größenordnung nicht innerhalb von Anwendungen gelöst werden kann sich. Apple wird irgendwann mit einer Lösung auf Betriebssystemebene voranschreiten müssen.
