2216587

Forscher finden Lücken in Apples Sandbox

24.08.2016 | 11:58 Uhr |

Sicherheitsspezialisten haben mit einer neuen Testmethode einige Sicherheitslücken in Apples iOS-Sicherheitsfunktion Sandbox gefunden.

Die so genannten Sandbox ist in Apples Mobilsystem iOS eine der wichtigsten Sicherheitskomponenten. Jede App eines Drittherstellers läuft innerhalb einer solchen „Sandkiste“ mit eingeschränkten Zugriffsregel. Dies soll andere Prozesse abschirmen, um beispielsweise Spyware das Auslesen von privaten Daten oder Kennwörtern unmöglich zu machen. Forscher der TU Darmstadt haben nun zusammen mit Kollegen der Universitäten North Carolina State und University Politehnica of Bucharest eine neue Methode gefunden, Lücken in Apples Sicherheitssystem aufzuspüren. Genauer vorstellen wollen die Entwickler die Sicherheitslücke aber erst im Oktober, im Rahmen einer Sicherheitskonferenz. Für das Identifizieren der Sicherheitslücken haben die Forscher laut Bericht die Sandbox-Profile (Binärdateien im Format SBPL) aus dem System extrahiert und mit automatischen Tests auf Schwachstellen überprüft. Die dabei aufgefundenen Sicherheitslücken sollen das Auslesen von Kontakten, Zugriff auf Nutzername und Medienbibliothek sowie das Sperren von Systemressourcen ermöglichen. Ebenfalls möglich sei, dass Apps untereinander Informationen teilen, das Auslesen von Metadaten wie die Aufnahmezeit von Fotos und das Sperren von freiem Speicherplatz. Laut Ahmad-Reza Sadhegi von der TU Darmstadt sei man mit Apple in Kontakt, das Unternehmen will die Sicherheitslücken in der nächsten Version von iOS beheben. Dokumentieren wollen die Forscher ihre Ergebnisse in der Publikation „SandScout: Automatic Detection of Flaws in iOS Sandbox Profiles“. Das Paper wird im Oktober im Rahmen der 23rd ACM Conference on Computer and Communications Security vorgestellt.

Unsere Einschätzung

Sicherheitslücken in der Sandbox sind bereits länger ein Thema. So hat einer der Autoren, Razvan Deaconescu in einer Präsentation bei der Konferenz OWASP EEE im Vortrag " Reversing the Apple Sandbox " anscheinend schon einige Grundlagen der Studie vorgestellt. Neu ist bei der aktuellen Studie wohl vor allem die Möglichkeit, Sicherheitslücken automatisch aufzuspüren – was durchaus auch  im Interesse von Apple liegen könnte. Für die Entwickler könnte die Entdeckung übrigens auch einen kleinen finanziellen Gewinn bringen: Erst kürzlich hat Apple nämlich eine Prämie (Bug Bounty) für das Auffinden von Sicherheitslücken ausgeschrieben . Für jeden erfolgreichen Zugriff auf Nutzerdaten aus einer Sandbox verspricht Apple eine Prämie von 25 000 US-Dollar.

0 Kommentare zu diesem Artikel
2216587