Apple zahlt Hackern, Sicherheitsforschern und auch Personen, die mehr oder weniger zufällig auf Sicherheitslücken in seinen Systemen stoßen, eine Belohnung – sofern sie ihre Erkenntnisse mit Apple teilen, bevor diese öffentlich werden. Für das Bounty-Programm qualifizieren sich Fehler, die einen “signifikanten Einfluss auf Anwender” haben. Dazu zählt Apple nicht nur solche in Geräten wie dem iPhone, sondern auch welche in der Web-Infrastruktur des Unternehmens und seiner Services.
Dem gewahr geworden, engagierte der Sicherheitsforscher Sam Curry im Juli mehrere Kollegen, die sich mit ihm auf die Jagd nach Schwachstellen machten. Für die fünf hatte sich die Suche bezahlt gemacht, insgesamt 50.000 US-Dollar an Belohnungen strichen sie bislang ein, berichtet Apple Insider . Gefunden hätten sie insgesamt 55 Fehler, davon 29 ernste und sogar 11 kritische.
Details über die mittlerweile geschlossenen Lücken können die Experten keine nennen, doch erzählen sie etwas über potentielle Auswirkungen. Wären Angreifer mit üblen Absichten darauf gestoßen, hätten diese es schaffen können “sowohl Kunden- als auch Mitarbeiteranwendungen vollständig zu kompromittieren, einen Wurm zu starten, der in der Lage ist, automatisch den iCloud-Account eines Opfers zu übernehmen, den Quellcode für interne Apple-Projekte abzurufen, eine von Apple verwendete Software für ein industrielles Steuerungslager vollständig zu kompromittieren und die Sitzungen von Apple-Mitarbeitern mit der Möglichkeit des Zugriffs auf Verwaltungswerkzeuge und sensible Ressourcen zu übernehmen.”
Einige der kritischsten Angriffe haben Sam Curry & Co. per Proof of Concept dokumentiert. So war durch eine Lücke in iCloud Mail möglich, einem Opfer eine speziell präparierte Mail zu schicken. Öffnet er diese im Webbrowser, startet im Interface der mitgeschickte Code, der in iCloud alle Daten wie Fotos, Notizen etc. auslesen kann. Mehr noch: Curry und seine Kollegen halten es für möglich, dass der Angriff auf alle iCloud-Nutzer ausgeweitet werden kann: Beim ersten Opfer lesen die Angreifer die Kontakte aus und schicken an alle die gleiche präparierte Mail, wer sie im Browser öffnet, gibt wiederum weitere Kontakte preis. Der Angriff konnte sich also wurmartig verbreiten.
Eine weitere Lücke betraf Apples internes Produkt-System, das im Unternehmen Logistik steuert. Apple hat dabei eine Software einer Drittfirma eingekauft, die den Zugang zu der Steuerung der Gehaltszahlungen der Mitarbeiter steuert, Lieferungen verwaltet, Logistik in den Warenlagern steuert und womöglich Zugang zu den Infos über noch nicht veröffentlichte Apple-Produkte hat, steuert doch die Software einige Prozesse bei der Herstellung. Den Zugang zu der Software konnten sich die Hacker über die Fehlerseite erlangen, die den Nutzer sein Passwort ändern lässt. Diese erlaubt zwar nur zwei Handlungen: Sich anmelden oder Passwort zurücksetzen. Im Hintergrund konnten die Entwickler jedoch die zugänglichen APIs herausfinden, wozu die Seite potentiell den Zugang hatte. Nach einigen Stunden haben die Hacker herausgefunden, welche Anfrage eine der Schnittstellen als legitim annimmt, der Zugang zu dem internen Management System war offen.
Einer der letzten Bugs, den die Hacker ausnutzen konnten, betraf auch iCloud, statt Nutzer-Daten konnten sich Curry und seine Kollegen den Zugang zu den Source Codes vieler iOS- und macOS-Apps von Apple verschaffen. Diese war über eine mangelhafte Sicherung der iCloud-Anhänge möglich: Einige Anhänge öffnet iCloud als Pages-Dokumente. Die URL von einem solchen Anhang schickt iCloud in einer Anfrage an eigene Webserver, die Pages in iCloud steuern. Ein normaler Anhang öffnet sich als neuer Pages-Dokument im weiteren Browser-Tag. Curry hat dagegen die URL verändert und an die Apple-Domains eine eigene hinzugefügt. Das Ergebnis war, dass die Entwickler über den Pages-Server den Zugang zu Apples Archiv mit dem Quellcode von mehreren iOS- und macOS-Apps verschafft hatten.
Fazit
Mit dem Stand am 6. Oktober sind alle 54 Lücken, die Sam Curry und seine Kollegen aufgedeckt hatten, bereits geschlossen. Die Entwickler können sich über eine Entschädigung von knapp 50 000 US-Dollar freuen. Diverse Proofs of Concept zeigen, dass auch Apples Systeme nicht gegen Angriffe von außen geschützt sind. Durch das Bug Bounty Programm hat jedoch der Hersteller die Informationen bekommen und nicht die böswilligen Angreifer oder die Konkurrenz (siehe Angriff auf Logistik-System). 50 000 US-Dollar sind regelrecht ein Schnäppchen im Vergleich dazu, welche Schaden durch die entdeckte Lücken beim Unternehmen selbst und bei den Nutzern von iCloud-Diensten hätten entstehen können.