Apple reagiert endlich auf XARA-Schwachstelle, Fix in der Mache

Apple hat nun im Fall der in der letzten Woche bekannt gewordenen Sicherheitslücken eine Lösung angekündigt: Die als XARA bekannt gewordenen Exploits sollen es Unbefugten ermöglichen, sensible Daten wie Passwörter aus Apps für iOS und OS X ... mehr... Apple, Apps, App Store, Appstore Bildquelle: Apple Apple, Apps, App Store, Appstore Apple, Apps, App Store, Appstore Apple

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ein dreiviertel Jahr bevor sich Apple mal bequemt mit einem Fix anzufangen? Für eine Sicherheitslücke, die alle Betriebssysteme von Apple kompromitiert und dabei kein Workaround für Anwendungsentwickler existiert?

Respekt Apple!
 
@Draco2007: Falsch, absolut hochgepuscht. Hier wird etwas zu einem Problem gemacht das bei Windows ein einfacher Copy Vorgang ist zB. Programm A kopiert Datei 1 aus Programmverzeichnis von Programm B.
 
@LastPlace: Und wie kommt das Programm dann Zugriff auf einen verschlüsselten Container? Oder wieso sonst macht 1Password so einen Aufstand?

Wenn auf meinem Windows Rechner ein böses Programm meine KeePass Datei von Verzeichnis A nach B kopiert, ist da noch lange kein Zugriff erfolgt.
Und wenn der Zugriff im RAM passiert, also über Prozessgrenzen hinweg, so wäre dies eine massive Sicherheitslücke.
 
@Draco2007: weißt Ihr überhaupt wie die Lücke funktioniert? Scheinbar nicht, das hat doch nix mit Ram und co zutun. Das funktioniert so. Programme legen Kennwörter in der Mac OS Keychain an. Bzw. sie prüfen erstmal ob der Eintrag schon da ist....falls nicht wird er angelegt. Der Clou ist nun - ein anderes das PW spionierende Programm erstellt nun BEVOR das eigentliche Programm den Keychain Eintrag erstellt selber einen - mit dem identischen Keychain Namen, welcher im Vorfeld bekannt sein muss.

Nun kommt das eigentliche Programm, guckt ob der Keychain Eintrag vorhanden ist - stellt fest ja und legt das PW dort ab. Das bösartige ist allerdings, da Ersteller, auch lesend/schreibend auf den Eintrag berechtigt und kann diesen nun problemlos abgreifen.
 
@Hinweis: Danke für die Erklärung. Klingt für mich aber wirklich ziemlich gefährlich, von wegen nur hochgepuscht.

Aber an sich wäre das doch vergleichbar mit einem prozessübergreifenden Zugriff auf den RAM. Also zwei Apps haben Zugriff auf den gleichen Bereich in der Keychain. Oder gehört das zum Use-Case der Keychain?

Hinweis: ich weiß nicht genau was die Keychain ist. Klingt für mich nach einem Apple internen Password-Manager, der wohl nich hinreichend abgesichert wurde und wohl nicht die nötige Priorität hat...

Wäre die Lösung dann nicht eine Prüfung des Erstellers des Eintrags? Sofern dies nicht der App entspricht, die grade schreiben will...Exception...
Oder denke ich zu einfach?
 
@Draco2007: ja das Teil heißt Schlüsselbund im deutschen Mac OS. Das ist ein betriebseigenes Passwort und Accountverwerwaltungsprogramm . Ich sag nur hallo Itunes Account ;)

https://de.wikipedia.org/wiki/Schlüsselbund_(Software)

In dem einem Video habe halt noch gesehen, dass bevor das bösartige Programm den Key auslesen konnte Admin PW erforderlich war. Weiß allerdings nicht, ob sie es auch mal ohne geschafft haben. Hart wird es halt eben, weil auch die 1 Passwort Extension für den Safari damit angreifbar ist. Ein Programm, welches so ziemlich jeder Mac User auf seinem Rechner hat ;) Und das erklärt halt auch warum 1P derzeit so im Dreieck springt - da sie aktuell nicht viel gegen dieses Verfahren selbst machen können.
 
@Hinweis: Umso wichtiger wäre es diese Lücke zu fixen und nicht erst 9 Monate Däumchen zu drehen ^^

Aber MS erntet einen Shitstorm, wenn sie eine weniger kritische Lücke, für die es einen Workaround gibt, um 2 Tage verschieben um sich an den Patchday-Zyklus zu halten ^^
 
@Draco2007: Naja, das Problem ist eher, das einige dieser Funktionen wohl unter dem Motto "It's not a bug, it's a feature" laufen, und einige Sachen einfach nicht implementiert sind, z.B. im Fall von 1Password kann die Browser-Extension nicht prüfen, ob sie das Passwort wirklich an die 1Password App schickt, oder an eine Schadsoftware, weil es einfach keine entsprechende API gibt. Das sind also nicht die üblichen Bugs, die irgendwo ein Sicherheitsloch aufreißen, deshalb dauert es wohl auch etwas länger...

9 Monate sind natürlich trotzdem ziemlich schwach von Apple...
 
@Draco2007: Schon mal daran gedacht, dass die Lösung dieses Problems nicht von heute auf morgen fertig programmiert ist?
 
@moniduse: Für mich sieht es so aus, als würden sie jetzt erst mit dem Fix anfangen.

Und bei dieser Art Lücke, sollte ein Fix eine sehr hohe Priorität genießen...

Ich sage nicht, dass sowas in 1 Woche gefixt sein sollte. Ich bin selbst Software Entwickler, ich weiß wie lange sowas dauern kann. Aber 9 Monate sind verdammt viel Zeit für eine solch kritische Lücke.
 
@Draco2007: im Text oben ist zu lesen, das bereits in OS X 10.10.3 und dem letzten iOS Release ein Update dazu eingespielt wurde, welches dann aber von den XARA Findern wieder umgangen wurde. Reaktion seitens Apple gab es schon - wenn auch nur kurzfristig und nicht dauerhaft. XARA über den AppStore direkt zu beziehen scheint auch behoben zu sein, betroffen sind aktuell nur Anwendungen die von Dritt-Entwicklern kommen; default sind alle nicht signierten Entwickler in OS X gesperrt - und für den Laien auch nicht zu finden wie man das umstellt.
 
@moniduse: bei MS wurde sich aufgeregt weil man nach 3 Monaten mit einer Komplexen Lücke nopch nicht ganz fertig war sie zu fixen. Bei Apple wird nach 9 Monaten damit angefangen sie zu fixen ... nein natürlich wird Apple da zu unrecht angeschissen.
 
Ich dachte, Apple kontrolliert die Software, die sie in den Store stellen, ausführlich. Anscheinend sind sie mehr damit beschäftigt, unliebsame Konkurrenz aus dem Store zu werfen anstatt Malware.
 
@TiKu: Genau das ist ein großes Problem bei Apple. Es gibt nur eine Instanz die kontrolliert, wenn diese überwunden ist kann die Schadsoftware im Store machen was sie will. Es gibt ja keine Möglichkeit für externe Drittanbieter die Installationen auf die Sicherheit zu prüfen.
 
@TiKu: Wo wurde denn ein unliebsamer Konkurrent aus dem Store geworfen? Du hast sicher Beispiele hierfür zur Hand ;)
 
@ger_brian: Z.B. die Cydia-Apps: https://de.wikipedia.org/wiki/Apple_iOS#Plagiatsvorw.C3.BCrfe
 
@TiKu: Zum einen sind das lediglich Vorwürfe. Gibt es irgendwo handfeste Beweise, dass das tatsächlich kopiert wurde? Wenn es so wäre hätten die Urheber ohne Probleme dagegen klagen können. Da der Urheber laut deinem Artikel nichts unternommen hat, kann man das wohl als stille Duldung zusammenfassen. Selbst wenn deine Beispiele tatsächlich Plagiate wären (belegt), sind die meisten 4-5 Jahre alt, das neuste 2 Jahre alt. Damit sollen sie wohl immer noch beschäftigt sein?
 
@ger_brian: Nicht jeder kann es sich leisten, gegen den Patenttroll mit seiner Armada an Anwälten vor Gericht zu ziehen.
 
@ger_brian: Vielleicht gefällt dir dieses Beispiel hier besser: http://www.gamestar.de/software/news/apple/3085202/apple_schmeisst_app_aus_dem_app_store.html

Oder das hier: http://www.netzwelt.de/news/150665-wegen-android-verweis-apple-wirft-foto-app-cluster-store.html

Oder das: http://www.pc-max.de/news/weltgeschehen/apple-watch-hersteller-wirft-andere-fitness-baender-aus-dem-online-store
 
@TiKu: Also bleibt es bei unbelegten Vorwürfen, die selbst in deinem Wikipedia nur als Vorwürfe bezeichnet sind. Es tut mir Leid, aber in diesem Land gilt immer noch das Prinzip "Im Zweifel für den Angeklagten" und solange es keine Belege gibt, sind das wie immer von dir lediglich lediglich Kommentare eines Haters. Btw: Apps, die dem eigenen Geschäftsmodell schaden, wirft verständlicherweise jeder Anbieter aus dem Store, wie Google 2013 die Adblocks aus dem Play Store.
 
@ger_brian: Warum wirst du persönlich? Bist wohl selbst ein Hater, was?
Aber mit deinem letzten Kommentar hast du mir ja zugestimmt: Apple wirft reihenweise Konkurrenzprodukte aus dem Store.
Und wenn schon die Erwähnung von Android reicht, um aus dem Store zu fliegen, ist Apple offenbar alles andere als überzeugt von den eigenen Produkten.
 
@TiKu: Könntest du deine Antwort bitte mal auf einen Post beschränken als in deinem blinden Hass in verschiedenen Posts mich mit links totzuschmeißen und diese im Nachhinein auch noch dauernd zu editieren? Das ist keine Diskussionsgrundlage, das ist bescheuert was du da machst.
Aber gut.
Beispiel 1: Pebble. Die App für die Pebble Time war ursprünglich schon freigegeben (sogar schneller als normal üblich), als Pebble in letzter Minute die App auf Grund eigener Fehler gelöscht und neu eingereicht hat. Diese Freigabe hat dann ein paar Tage länger als der Durchschnitt gedauert. In anbetracht der Tatsache, dass die App schon freigegeben war kann man hier wohl kaum von Behinderung sprechen.
Beispiel 2: Die Nennung von anderen Plattformen ist nun mal nach den Regeln verboten. Das weiß jeder und es ist klar dokumentiert. Diese Regeln gelten für jeden gleichermaßen, wenn dem Entwickler das nicht gefällt, muss er ja nichts veröffentlichen.
Beispiel 3: Da geht es um die physischen Ladengeschäfte, in denen jeder Quadratmeter verdammt viel Geld kostet. Willst du wirklich sagen, dass es eine Schande ist, wenn Apple hier nicht die Konkurrenz bewirbt? Verkauft Google in ihren Flagship stores Apple Produkte? Verkauft Microsoft Chromebooks? Hör mit dem Schwachsinn auf.
 
@ger_brian: Du hast nach Links gefragt und beschwerst dich jetzt, wenn du welche bekommst? LOL
Beispiel 1: Na mal schauen wie lange Apps für Android Wear im Apple Store überleben.
Beispiel 2: Wenn schon die Erwähnung von Android reicht, um aus dem Store zu fliegen, ist Apple offenbar alles andere als überzeugt von den eigenen Produkten.
Beispiel 3: Apple hat zuvor von der Partnerschaft mit Fitbit und Co profitiert. Sie wurden dann fallengelassen wie eine heiße Kartoffel, als Apple selbst sowas wie eine Smartwatch rausbrachte. Offenbar ist Apple von dem eigenen Gerät nicht überzeugt, sonst hätten sie es in einem freien Wettbewerb gegen die Konkurrenz antreten lassen. Aber das gehört bei Apple ja dazu, dass den Kunden direkte Vergleichsmöglichkeiten genommen werden, damit bloß keiner merkt, dass Apple doch nicht so toll ist.
 
@TiKu: Nur weil ich nach Links gefragt habe, kann man trotzdem erwarten, dass nicht im Nachhinein nach dem Antworten noch weitere Argumente hinzugefügt werden, auf die man ursprünglich nicht eingehen kann. Das ist ein schlechter Stil.
1. Das wird nicht zugelassen, solange der Name Android vorhanden ist. Das ist mir und allen anderen, die sich mit den Regeln des Stores befasst haben auch durchaus vorher bewusst.
2. Wie gesagt: Warum soll man für sich selbst geschäftsschädigend wirkende Dinge im Store haben? Warum hat Google die Adblocks entfernt? Haben sie derart Angst vor einem kleinen Entwickler? Wie gesagt, ich kritisiere weder Google noch Apple und finde beides Nachvollziehbar. Du würdest in deinem Haus auch niemanden Unterbringen und bewirtschaften, der dir permanent schadet.
3. Ich vermute mal stark, dass Fitbit und co vom Verkauf in den Apple Stores (mit die profitablsten Geschäfte weltweit überhaupt) weit mehr profitiert hat als den Anteil, den Apple am Verkaufserlös erzielte. Wie gesagt: Warum soll man aktiv einem Konkurrenten helfen? So funktioniert der Markt nicht.
 
@ger_brian: Nun schau nochmal was ich geschrieben habe: Apple wirft Konkurrenten aus dem Store. Sie werfen sogar alles aus dem Store, was die Konkurrenz auch nur erwähnt.
Schön, dass du mir zustimmst, auch wenn du es anfangs nicht glauben wolltest.
 
@TiKu: bei div. Apps wird das Wort Android benutzt - sie sind im Store und auch nach dem Wort durchsuchbar.
 
@Hinweis: Das lässt die App-Entfernungen noch mehr nach Willkür aussehen.
 
@TiKu: Nein, ich stimme dir immer noch nicht zu. Hinauswerfen von Apps würde bedeuten, dass die Apps immer bereits im Store waren und von Apple nachträglich entfernt wurden (Hardware in Ladengeschäften zählt hier nicht, das ist eine gänzlich andere Schublade). Die von dir gelisteten Beispiele an Apps sind wegen dem Erwähnen der Konkurrenz gar nicht erst zugelassen worden.
 
@ger_brian: Wenn ein Türsteher jemanden, wegen der Nationalität, schon am Eingang rauswirft, ist es weniger schlimm als wenn es erst an der Bar passiert?
 
@floerido: Ich sagte nicht das es schlimmer ist, ich sagte nur das es anders ist. Außerdem: Nicht alles was hinkt ist ein Vergleich.
 
@ger_brian: Du versuchst hier eindeutig nur das Problem klein zu reden. Beides mal hat die Kontrolle die Aktion hervorgerufen, da ist es egal wann es passiert.Der Vergleich ist sehr passend, weil die Inhalte nicht reinrassig Apple sind, werden sie nicht reingelassen oder rausgeworfen.
 
@floerido: Ich versuche, gar nichts kleinzureden. Eigentlich ist mir die Thematik völlig egal. Ich nutze weder Passwortmanager noch entwickle ich Apps, die irgendwie aus irgendwelchen Stores fliegen können. Ich weise nur darauf hin, dass es zwischen den Sachen Unterschiede gibt und ich habe Verständnis, dass Storebetreiber nichts in ihren Stores anbieten möchten, was ihnen eventuell schadet. Das würde ich auch bei jedem anderen Unternehmen verstehen.
 
@ger_brian: Mit TiKu objektiv über Apple diskutieren ist unmöglich. Habs schon lange aufgegeben. Hass bzw Wut steht auf der Stelle ;)
 
@psyabit: ja wirkt in der Tat ziemlich so.
 
Dachte Apple bzw iOS wäre so sicher? Ja, war wohl nix.
 
@Wolfseye: im Vergleich zu anderen System ist es sicherer; aber nicht zu 100% sicher.
 
@Rumpelzahn: Im Vergleich zu Windows 95 oder wie?
 
@TiKu: das ist unfair, mindestens so sicher wie Windows XP
 
@Wolfseye: Wer behauptet sowas?
 
@iPeople: Apple selbst?!
 
@Vietz: Nö.
 
@iPeople: Bitte
http://de.engadget.com/2015/03/22/apple-wirft-antivirus-und-anti-malware-apps-aus-dem-store/
Und es gab Viren für iOS. Z.B. die PDF Lücke bis 4.3 über die man einfach Apps installieren konnte. Die Lücke wurde sogar früher über Cydia gefixt als es Apple selbst gemacht hat.
 
@Vietz: Ist das Dein ernst? Du kommst mit einem Beitrag auf BILD-Niveau? Schon der erste Satz ist voll daneben. Erstens: Das Sandbox-System erlaubt es gar nicht, dass alle Daten permanent gescannt werden. Zweitens: Wenn Du auf einer seriösen Seite lesen würdest, würdest Du evtl erkennen, dass die kicked AV-Apps wegen mangelnder oder fehlender Funktionalität rausgworfen wurden, um ein falsches Sicherheitsgefühl zu vermeiden.
Som und jetzt bitte endlich den Beweis, dass Apple ihr System als 100% sicher beschrieben haben.
 
@iPeople: Komisch... Andere Seiten schreiben genau das selbe.
http://www.zdnet.de/88229476/apple-antivirensoftware-fuer-ios-gibt-es-nicht/
"Ihm zufolge hielt Apple die Beschreibung der App für „irreführend“, da sie Anwender zu der falschen Annahme verleiten könnte, es gebe Viren für iOS."
 
@Vietz: "Ihm zu Folge ... " .... Quelle: Ein Blog ... Sag mal, ist es so schwer, die Behauptung "Apple hat gesagt" zu beweisen? DAs würde mir jetzt zu Denken geben. Achso, und welche Viren gibt es für iOS? Wirklich gefahr besteht für Jailbreaked iPhones. Und diese leute sind selber Schuld, da sie die Barriere von iOS selber ausgehebelt haben.

Vielleicht mal folgendes lesen:
http://www.heise.de/mac-and-i/meldung/Apple-Anti-Viren-Apps-fuer-iOS-irrefuehrend-2581916.html

Da steht nochmal eindeutig drin, dass dieser "Schutz" keiner war und wegen eben dieser irreführung rausflog.

So, und jetzt nochmal: Wann und wo hat Apple behauptet, OSX und iOS seien 100%ig sicher?
 
@Vietz: Die Virenscanner scannten Ihren Eigenencode, da keine App zugriff auf andere Apps hat, von daher war die beschreibung irreführend und die App nicht nützlich!
 
@Vietz: Apple selbst sagt nur, dass das neuste iOS/OSX das sicherste aller Zeiten wäre. Es gab auch mal den Vergleich an Sicherheitslücken zwischen iOS und Android, wobei iOS wesentlich weniger Lücken/Schwachstellen/Mailware als Android hat.
 
@Rumpelzahn: "neuste iOS/OSX das sicherste aller Zeiten wäre." ... richtig, aber immer im Bezug auf die eigenen Produkte.
 
@Rumpelzahn: Oder Apple hat nur weniger, weil man sich gar nicht suchen darf. ;-)
 
@floerido: Wiso sollte nicht nach Sicherheitslücken gesucht werden dürfen? Macht überhaupt keinen Sinn. OS X wird zusätzlich durch die geringere Verbreitung geschützt. iOS durch den intelligenten Aufbau...
 
Hm, die Informationen hier scheinen nicht korrekt zu sein, alle bereits bestehenden Passwörter im Schlüsselbund sind NICHT auslesbar. Es geht nur um "neue" Passwörter die ab den Zeitpunkt, wo eine betroffene App installiert wurde, angelegt werden und bedarf einer Passworteingabe.
http://www.itopnews.de/2015/06/analyse-xara-sicherheitsluecke-auf-ios-und-os-x-im-detail/
 
@Rumpelzahn: das ist korrekt - bestehende Einträge haben ja die korrekten Rechte und sind folglich nicht auslesbar....zumindest nicht über diesen Angriff :)
Kommentar abgeben Netiquette beachten!

Apples Aktienkurs in Euro

Apple Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

iPad im Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles