Nye angrebsmetoder underminerer sikkerheden i iOS og Mac OS

Sikkerhedsmodellen i Apples styresystemer har adskillige svagheder, der kan udnyttes til at stjæle passwords, påviser forskere. Det bliver vanskeligt at løse de grundlæggende problemer i styresystemerne, påpeger dansk udvikler.

Forskere har påvist flere svagheder i Apples styresystemer, iOS og OS X, der ellers har et generelt ry for at være sikrere end flere konkurrerende produkter. Sårbarhederne gør det muligt for kriminelle bag ondsindede apps at opnå adgang til data i iPhone og MacBook, herunder lagrede passwords, som apps i sagens natur helst ikke burde kunne få adgang til.

Det er forskere ved den amerikanske delstat Indianas Universitet, ved Pekings Universitet og ved Georgia Institute of Technology, der har identificeret svaghederne. Forskerne har ikke alene demonstreret svaghederne, det er også lykkedes at få ondsindede apps, , der kan udnytte svaghederne, publiceret i Apples app-stores. Og altså derved omgå Apples screeningsproces. Det fortæller den amerikanske finanspublikation Forbes.

Ph.d-student Luyi Xing er hovedforfatter på forskningsarbejdet, der kan ses her.

Forskerne har gjort Apple opmærksom på deres fund i oktober 2014, men sårbarhederne skulle stadig være aktuelle. Og ifølge solutions architect og partner i app-virksomheden iDeal Development Esben Bjerregaard, som har set nærmere på sagen, er det da heller ikke muligt udelukkende at løse problemerne blot ved at patche operativsystemerne.

»Det er tydeligt, at der er nogle alvorlige huller i Apples sikkerhedsmodel. Problemet er, at det ikke er helt simple ting at fikse, da der ikke er tale om bugs i softwaren, men arkitekturproblemer. Der er simpelthen noget software, der ikke er designet rigtigt. Det betyder også, at alle apps, der anvender systemet her, skal skrives om. Det er ikke nok at ændre i Apples frameworks,« skriver Esben Bjerregaard i en mail til Version2.

Sårbarhederne skulle dog stadig være aktuelle, da de relaterer sig til den grundlæggende måde, hvorpå apps tilgår data i styresystemerne. Forskerne har specifikt set på Apples styresystemer i forhold til det, forskerne kalder cross-app resource access attacks (XARA).

Angrebsteknikken udnytter svagheder i den isoleringsmekanisme, der er på plads i moderne styresystemer, og som skal holde apps - altså programmer - adskilt, så malware får sværere ved at kompromittere systemet og stjæle data.

Svaghederne i iOS og OS X skyldes grundlæggende, at der mangler autentifikation i app til app-kommunikationen og i app til OS-kommunikationen, bemærker forskerne.

Keychain

I forhold til de konkrete svagheder har forskerne identificeret flere. En af dem relaterer sig til Apples Keychain i Mac OS X, hvor applikationer lagrer kritiske informationer - herunder passwords - til autentifikation, fortæller Forbes.

Hver app har adgang til sin egen lille del af keychain, kaldet et item. Forskerne har opdaget, at det er muligt for ondsindet software at lave et item, der ligner et andet - legitim app - item. Og på den måde tilgå de informationer, som de legitime apps lagrer i items.

»Forestil dig, at du går i banken og beder om at få en privat bankboks, og du siger, at du vil have bankboks nummer 1234. Banken tjekker, at boksen er tom, og udleverer derefter en nøgle til bankboksen. Du siger samtidig til banken, at alle godt må kigge i din nye bankboks. Herefter kommer en anden kunde, som også beder om at få bankboks 1234. Banken udlever endnu en nøgle til bankboksen. Den nye kunde siger, at nu må ingen kigge i boksen længere. Det respekterer banken, men da du allerede har fået udleveret en nøgle, opgraderes denne nøgle så den stadig virker. Du kan nu se alt, hvad kunde#2 putter i boksen,« skriver Esben Bjerregaard og fortsætter:

»Tricket kan kun lade sig gøre, så længe hijackeren får adgang, inden den reelle bruger når at oprette adgangen.«

Forskerne har demonstreret, hvordan Keychain-sårbarheden kan udnyttes til at få fat i autentifikationsoplysninger til Googles Chrome og Apples iCloud på Mac OS X. Google er - som følge af sårbarheden - stoppet med at integrere op mod Apples keychain, oplyser det britiske teknologimedie The Register.

Ifølge Forbes skulle Apple - siden forskerne kontaktede virksomheden i oktober 2014 om sårbarhederne - nu have ændret noget, så det ikke længere er muligt at udnytte svagheden specifikt i forhold til iCloud.

Og det er faktisk muligt, på app-niveau, at imødegå den specifikke sårbarhed i forhold til Keychain, forklarer Esben Bjerregaard - dog uden at tage stilling til, hvorvidt det lige er dette, Apple har gjort i forhold til iCloud:

»Apple burde bede udviklerne om at tjekke, om andre har adgang (det kan faktisk tjekkes), men det er ikke noget, man normalt gør, og det er ikke noget, Apple opfordrer til. Det betyder dybest set, at alle keychain-hemmeligheder på OS X kan læses af alle, såfremt man kender navnet på boksen og sørger for at få adgang, inden der puttes noget i den. Det lyder jo ikke særlig sundt.«

URL scheme

På iOS kan den specifikke keychain-sårbarhed ikke udnyttes. Det kan til gengæld en anden teknik, som forskerne har fundet frem til, der relaterer sig til det, der kaldes URL scheme.

Det er ifølge Esben Bjerregaard en primitiv teknik, der går ud på, at en app oplyser til iOS, at appen kan håndtere URL'er eksempelvis i formatet minapp://appData

Når apps snakker sammen, anvendes ofte en temmelig primitiv strategi kaldet et URL scheme. Her er teknikken, at man kan fortælle iOS, at ens app kan håndtere URL'er i formatet, f.eks:

minapp://appData

Hver gang en app har brug for at kontakte 'minapp', kan denne kaldes ved at kalde URL'en minapp://appData?x=123&y=234

Herefter vil iOS starte 'minapp' og sende variablerne x og y - henholdsvis med værdierne 123 og 234.

»Det er smart og simpelt. Hvis jeg f.eks. vil logge på Facebook, beder jeg iOS om at kalde Facebook-appen med noget a la Facebook://signon?appId=minapp,« skriver Esben Bjerregaard.

Men forskerne har opdaget, at det er muligt for en ondsindet app at registrere det samme URL scheme, som en legitim app anvender. Så når den legitime app bliver forsøgt kaldt via URL scheme, vil data blive sendt til den ondsindede app.

På OS X er det det scheme, der først bliver registreret, som får forrang, når kald bliver gennemført. På iOS er det det URL scheme, der senest er blevet registreret, som data bliver sendt til. Så problemet er altså umiddelbart større på iOS end på Mac OS X, som Forbes bemærker i forbindelse med et citat fra forskernes rapport:

»Alle tredjeparts-apps, som kører på iPhone og iPad, er fuldstændig ubeskyttede i forhold til denne trussel.«

Ifølge Esben Bjerregaard er det ikke noget problem at hijacke eksempelvis det URL scheme, som Facebook anvender, da formatet er kendt. Ellers ville det jo heller ikke kunne kaldes via andre apps, og pointen med et URL scheme ville falde til jorden, som Esben Bjerregaard bemærker.

Bundle ID

Forbes omtaler endnu en sårbarhed, som forskerne har fundet frem til, specifikt i forhold til sandbox-modellen i Mac OS. For at beskytte programmer mod malware får alle godkendte Mac-apps et unikt id kaldet et Bundle ID (BID). Det definerer, hvad de enkelte apps kan tilgå uden for deres egen container, samt hvilke data appen blotlægger.

Apps får tildelt et BID, når de bliver godkendt til App Store, og der bliver tjekket for dubletter. Under-pogrammer, der kører inden i en app, bliver dog ikke tilstrækkeligt valideret. Det vil sige, at underprogrammet, kan bruge en legitim apps BID til at få adgang til den legitime apps container og dermed data. Forskerne har blandt andet brugt dette angreb til - som proof-of-concept - at stjæle data fra den populære note-app EverNote.

I rapporten bemærker forskerne:

»Resultatet er, at en ondsindet app får fuld adgang til andre apps -containere, hvilket fuldstændigt kompromitterer sandbox-indespærringen.«

Apples egne programmer anvender reserverede BIDs og kan derfor ikke kompromitteres via dette angreb.

Hjælp fra Facebook

Forskerne har fundet frem til endnu en svaghed specifikt i Mac OS X. Den involverer WebSocket, der bliver brugt til at vise web-indhold i apps. På grund af manglende autentifikation er det lykkedes forskerne at hijacke en port og opnå adgang til en legitim apps web-indhold via en ondsindet app. Det har forskerne konkret brugt til at få adgang til oplysninger lagret via den populære passwordhusker 1Password.

Historien om sårbarhederne i Apples OS’er, der udsprang af forskernes rapport, der udkom i sidste uge, ruller videre i denne uge.

Forbes fortæller i en historie bragt i går, tirsdag, at mens Apple endnu ikke har et bud på, hvornår sårbarhederne bliver løst, er Facebook klar med en hjælpende hånd.

Nærmere bestemt drejer det sig om den sociale medie-virksomheds værktøj osquery.

Det er et open source-framework, der kan bruges til at overvåge sikkerheden i operativsystemer. Facebook har opdateret frameworket til detektere forsøg på at udnytte de svagheder, som forskerne har identificeret.

Forbes citerer Mike Arpaia, softwareingeniør hos Facebooks sikkerhedsteam i den forbindelse:

»På dette tidspunkt kender vi ikke til defensive sikkerhedsprodukter, andet end osquery, der kan detektere udnyttelsen af alle sårbarheder, som Xing-rapporten ridser op,« siger Arpaia med henvisning til hovedforfatteren, Luyi Xing.

Arpaia fortsætter:

»Vi frigav osquery sidste år, fordi vi ønsker, at internettet skal være et mere sikkert sted. Ved at vedligeholde en osquery-installation i din organisation, så vil du være bedre i stand til at detektere angreb på klientsiden mod OS X-brugere.«

Både The Register og Forbes har forsøgt at få kommentarer fra Apple, dog uden held.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Nikolaj Strauss

Ingen tvivl om at KeyChain-issuet burde rettes af Apple, men at kalde URL-scheme-delen for sårbar forstår jeg ikke, det er jo hele ideen at man kan udskifte modtager-applikationen med en anden hvis man lyster?! I så fald er Android da absolut også i "farezonen", da den opererer på præcis samme måde.

Det prøver i vel sådan set også at skrive i slutningen af den lille del, men burde gøre at hele den del burde fjernes fra artiklen, da den har intet med sårbarhed at gøre.

  • 1
  • 4
#2 Jakob Møllerhøj Editor

I så fald er Android da absolut også i "farezonen", da den opererer på præcis samme måde.

Fra rapporten:

Although this mechanism is also used on Android, which has been implemented using Intent, it is different from that for OS X and iOS since Apple’s OSes only allow one single app to be associated with a scheme on a device, while on Android, the user is asked to choose a scheme’s owner when there are more than one. This major difference enables our scheme hijacking attack (Section 3.4) which, however, does not pose a threat on Android.

Forskellen er, som jeg forstår det, at brugeren aktivt vælger URL-scheme for Android en gang for alle (det KAN rettes senere) eller per gang. Eksempelvis Hangouts, Facebook, Youtube el. andet. På Mac OS er det første app, der har sat sig på schemet, der beholder det. Mens det på iOS - ifølge rapporten - er den seneste app, der har gjort krav på et scheme, der napper kaldene. Det virker umiddelbart som et potentielt problem. Jakob - Version2.

  • 10
  • 0
#3 Bent Jensen

Både godt og skidt. Fint for dem som ikke kan, eller ikke vil finde ud af andet, som min mor på over 80. Men er Android ikke også i farezonen, hvis app. kan finde ud af at, "vælge og husk". Eller er det OS som styre det ?

Men ellers vil jeg selv som kun Android bruger mene, at sikkerheden er geneneralt langt større i iOS. Friheden og pris, giver ansvar og udfordringer :-) Men også den langt større udbredelse og de også mange flere programmer, især de ikke helt rene i kanten, giver problemer.

Men for OS X er den bedre sikkerhed i forhold til Windows, nok snart spist op af de mange flere bruger, der er overbevist om at de har et system der er HELT sikkert. Noget som Appel ikke har gjort synderlig meget, for at fortælle dem at det ikke er helt rigtigt mere.

  • 0
  • 1
#4 carsten guldhammer

forskning eller ej

kald det hvad i vil så syntes jeg det er problematisk at man sidder og praler af at man føler sig så højt hævet, om ikke over loven så over moralen at man bevidst uploader skadelig / inficeret software med kriminalitet for øjet..

hvem ved hvor mange det er lykkedes at få fat i det skadelige software ?

  • 0
  • 7
#6 Jakob Damkjær

sensations agtig beskrivelse har imore en rimelig en af slagsen...

http://www.imore.com/xara-exploits-mac-iphone-and-ipad-and-what-you-need...

og har en kommentar fra Apple...

"Earlier this week we implemented a server-side app security update that secures app data and blocks apps with sandbox configuration issues from the Mac App Store," an Apple spokesperson told iMore. "We have additional fixes in progress and are working with the researchers to investigate the claims in their paper."

Desuden: "The researchers say they reported XARA to Apple 6 months ago, and Apple asked for that much time to fix it. Since that time had elapsed, the researchers went public.

Strangely, the researchers also claim to have seen attempts by Apple to fix the exploits, but that those attempts were still subject to attack. That makes it sound, at least on the surface, that Apple was working on fixing what was initially disclosed, ways to circumvent those fixes were found, but the clock wasn't reset. If that's an accurate read, saying 6 months has passed is a little disingenuous."

Så måske er det her lidt mindre "OH MY GOD MY HAIR IS ON FIRE" farligt og mere undgå at gøre potientielt dumme ting fx. benyt Safari istedet for Firefox og Chrome lad være med at ignorere når apps og programmer opføre sig mystisk og tænk før du taster. Der kommer nok et fiks relativt hurtigt og Apple har allerede taget yderligere trin end de allerede havde gjort inden det her blev udgivet for at sikre deres brugere. Men hvis google chrome fx. bruger URL schemes til at overføre fortrolige tokens og info så burde google vide at det ikke er en sikker måde at behandle brugeres data... den er nem ja men ikke god.

en mere teknisk gennemgang her: http://www.imore.com/depth-look-ios-os-x-xara-vulnerabilities

"Contrary to what some reports have said, while a malicious app cannot read your existing keychain entries, it can delete existing keychain entries, and it can create new keychain entries that are readable and writeable by other, legitimate apps."

  • 0
  • 3
#7 Henrik Gilvad

på Android kan man bruge Explicit Intent hvor man direkte styrer hvem den er til. Googles referencekode til in-app purchase manglede dette og hackere lavede let en snyde google play der åbnede op for inapp køb. Modtageren kan teste hvem afsenderen er.

På iOS kan/skal modtageren nu teste hvem afsenderen er. iOS er stadig et primitivt OS med store mangler. Interapp communication er uhyggeligt begrænset, måske pga sikkerhedsfrygt. Android er meget åbent så man skal være omhyggelig hvis man vil lave sikre app's. Android 5 hjælper en del.

  • 0
  • 0
Log ind eller Opret konto for at kommentere