iLeakage: Forscher demonstrieren Daten-Klau von Macs und iPhones

Apples Safari-Browser kann sowohl auf Macs als auch iPhones von An­grei­fern dazu gebracht werden, Geheimnisse preiszugeben. Dazu ge­hö­ren etwa Passwörter, Inhalte von E-Mails und andere sensible Daten, teilten Informatiker des Georgia Institute of Technology mit.
Chip, Apple Logo, Apple Chip, generic, Apple Soc, Midjourney, Apfel, Allgemein, generisch, Apple CPU

Seitenkanal auch bei Apple ein Problem

Das Problem wurde im Rahmen der akademischen Beschäftigung mit Sicherheitsproblemen entdeckt und es ist unklar, ob das Verfahren auch schon in freier Wildbahn zum Einsatz kam. Die Entdecker tauften die zugrundeliegende Schwachstelle auf den Namen "iLeakage" und veröffentlichten eine eigene Webseite mit umfassenden Informationen.

Ausgangspunkt für einen erfolgreichen Angriff dieser Art ist die Durchführung einer Seitenkanal-Attacke auf einen Chip der A- oder M-Serie, die in Apple-Geräten arbeiten. Die dafür nötigen Exploits lassen sich allerdings nicht einfach von beliebigen Kriminellen umsetzen, weshalb das Risiko solcher Angriffe nicht übermäßig groß ist.

iLeakage-Demo: Instagram-Passwort aus dem Browser geklaut

Zu diesem Fazit kommen auch die Sicherheitsforscher: iLeakage benötige nur minimale Ressourcen für die Durchführung, erfordere jedoch ein umfangreiches Reverse-Engineering der Apple-Hardware und beträchtliches Fachwissen von der Funktionsweise moderner CPUs. Denn wie schon be früheren Security-Problemen dieser Art gewinnt man die Informationen aus den spekulativen Berechnungen, die im Grunde bereits allen CPU-Entwicklern Kopfzerbrechen bereiteten, aber noch nie zu spektakulären Attacken führten.

Apple kündigt Patch an

Die Forscher implementierten iLeakage als Website. Wenn diese von einem anfälligen MacOS- oder iOS-Gerät besucht wird, verwendet sie JavaScript, um den Prozessor zur Preisgabe der Daten zu zwingen. Die Forscher haben iLeakage etwa erfolgreich eingesetzt, um den YouTube-Verlauf, den Inhalt eines Gmail-Posteingangs und ein Passwort, das von einem Credential Manager automatisch ausgefüllt wird, wiederherzustellen.

Während iLeakage auf Macs nur mit Safari funktioniert, können iPhones und iPads mit jedem Browser angegriffen werden, da sie alle auf Apples WebKit-Browser-Engine basieren. Ein Apple-Vertreter erklärte, dass man von der iLeakage-Arbeit der Forscher wichtige Hinweise auf Schwächen in er eigenen Security-Architektur gewinnen konnte. Die zugrundeliegende Schwachstelle soll in einem der kommenden Updates für die hauseigene Software beseitigt werden.

Zusammenfassung
  • Safari kann Geheimnisse preisgeben, inklusive Passwörter.
  • Schwachstelle "iLeakage" von Informatikern entdeckt.
  • Angriff erfordert Seitenkanal-Attacke auf Chips der A- oder M-Serie.
  • Durchführung erfordert umfangreiches Fachwissen.
  • Forscher erhielten YouTube-Verlauf, Gmail-Inhalte und Passwörter.
  • iOS-Geräte anfällig, da alle Browser auf WebKit-Engine basieren.
  • Apple plant, Schwachstelle in kommenden Updates zu beheben.

Siehe auch:


Apples Aktienkurs in Euro
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!