2024 / Sicherheitslücke

iLeakage: Neueste Angriffswelle auf iOS-Plattformen

Sicherheitslücken gab und gibt es in großer Anzahl. Nicht nur unter Windows und Android, sondern auch auf dem iPhone und dem Mac. iLeakage ist ein moderner Beweis dafür, dass auch das als sicher angesehene Betriebssystem iOS gar nicht so sicher ist, wie bislang immer angenommen wurde.

Dies liegt allerdings in der Natur der Sache, denn sicher ist in der digitalen Welt genau genommen rein gar nichts mehr. Vor allem dann nicht, wenn Geräte sich unter vielen Konsumenten zugleich verbreiten und zu einer Art von Standard werden. Dann lohnt sich der Angriff meist besonders, das Interesse der Hacker ist dementsprechend groß. Wird ein Gerät erfolgreich angegriffen, besteht schließlich potenziell auch Zugriff auf alle anderen Geräte, die diese Sicherheitslücke aufweisen.

Speziell im Falle von iLeakage wurde zudem große Kritik an dem Technologieunternehmen Apple laut. Der Hersteller des iPhone und des Mac soll angeblich zu wenig unternommen haben, um den Browser Safari erfolgreich gegen entsprechende Angriffe abzusichern. Dabei wäre das, laut Meinung vieler Sicherheitsexperten, durchaus möglich.

Was ist iLeakage?

iLeakage ist ein Projekt von Forschern der Ruhr-Universität Bochum, dem Georgia Institute of Technology und der University of Michigan. Dabei handelt es sich um eine Website, die aufzeigt, dass auch viele Jahre nach dem Bekanntwerden, immer noch sogenannte Seitenkanalangriffe via Safari möglich sind, weil Apple wohl nicht genügend Maßnahmen einleitet, um dieses effektiv zu verhindern.

Publik wurden die Seitenkanalangriffe, als es auf den Intel-Prozessoren die Schwachstellen Spectre und Meltdown gab. Das ist bereits sechs Jahre her und seitdem hat sich eigentlich viel getan. Unter anderem hat Apple von Intel auf die ARM-Plattform und fortwährend hauseigene Silicon CPUs gesetzt. Doch die Gefahr droht weiterhin, wie die Forscher zuletzt abermals bewiesen, und somit kann von einer geschlossenen Sicherheitslücke bis jetzt auch nicht die Rede sein. Ein großes Problem für Nutzer, die natürlich auf ihre Sicherheit bedacht sind.

Das Team der Forscher hat die Schwachstelle iLeakage genannt und bietet dazu auch eine eigene Website an. Dort wird nicht nur die Schwachstelle selbst erklärt, es werden auch praktische Beispiele in Videos vorgeführt, in denen die Sicherheitslücke entsprechend ausgenutzt werden konnte. Dabei geht es um einen Zugriff auf den Cache, mit dem dann wiederum ganz konkret Inhalte ausgelesen werden können.

Was ist ein Seitenkanalangriff?

Websites in Safari sind, und das macht Safari als sicheren Browser aus, komplett voneinander getrennt. MacOS bietet mit dem sogenannten Side Channel Hardening sogar einen Sicherheitsmechanismus gegen Seitenkanalangriffe. Der verhindert im Falle von iLeakage aber nicht den maßgeblichen Leak. Im Test öffnen die Angreifer ein neues Fenster via Javascript und »window.open«, was im Falle von Safari wohl dazu führt, dass das neue Fenster im selben Prozess wie das Hauptfenster liegt.

Weil das neue Fenster nun im selben Prozess wie die andere Website läuft, kann auf die Daten zugegriffen werden. Unter anderem lassen sich auf diese Weise Zugangsdaten anderer Websites auslesen. Möglich ist hier ein weitreichender Zugriff, theoretisch sogar inklusive Passwort-Manager und Kreditkartendaten. iLeakage offenbart also keine Kleinigkeit, sondern eine massive und hochgradig gefährliche Sicherheitslücke innerhalb des Safari Browsers. Sowohl auf dem iPhone als auch auf dem Mac, wie es scheint.

Zudem hinterlässt der Angriff keine Spuren, sodass er kaum erkannt oder zurückverfolgt werden kann. Es handelt sich also um einen cleveren Eingriff in das bestehende Browserfenster, welcher dem Nutzer nicht einmal gesondert auffallen dürfte. Betroffen davon sind wohl alle Apple Silicon CPUs. Durch ein Ausnutzen des CPU-Seitenkanals können Login-Daten also problemlos gelesen werden. Auf diese Weise verschaffen sich Angreifer Zugang zu Social Media Accounts oder sogar E-Mail-Postfächern, was dann schnell weitere Möglichkeiten für andersartige Angriffe hervorbringt.

Funktioniert iLeakage auch auf den neuen M3-Prozessoren?

Das große Problem von iLeakage ist, dass Apple das Problem anscheinend nicht so richtig in den Griff bekommt. Nicht nur, dass die Lücke schon seit über einem Jahr gemeldet wurde und inzwischen auch eine entsprechende Option in Safari (Swap Processes on Cross-Site Window Open) erhalten hat, sie bleibt auch weiterhin bestehen. Das zeigt die Website von iLeakage immer wieder deutlich.

Dort zu sehen ist ein MacBook Pro mit dem neuen Apple M3-Chip und MacOS in Version 14.1.1 sowie dem neuen Safari 17.1. In der Demo wird das Facebook-Passwort der Zielperson wiederhergestellt sowie das Token für die Zwei-Faktor-Authentifizierung (2FA) über Google Messages ausgelesen. Der Angriff gelingt also weiterhin selbst auf neuster Hard- und Software, was ein schwerwiegendes Problem darstellt, wie wir finden.

Apple hat Safari also mit einem Update und einer entsprechenden Funktion versehen, doch das war wohl nicht weitreichend genug. Die Schwachstelle in der Apple Silicon CPU bleibt, wie es scheint, weiterhin bestehen und es wirkt fast so, als könne diese auch gar nicht so schnell geschlossen werden. Wäre es möglich, wäre dies mit dem neusten M3 Prozessor des Unternehmens nämlich vermutlich schon geschehen. Dort konnte sie aber von dem Team hinter iLeakage abermals erfolgreich ausgenutzt werden.

Was genau bedeutet die Sicherheitslücke für iPhone-Nutzer?

Für Nutzer eines iPhones hat iLeakage weitreichende Folgen, über die sich Anwender auch durchaus bewusst sein sollten. In der Theorie kann ein Angriff auf sie stattfinden, was zu einem Verlust vieler persönlicher Daten führt. Sind Social Media Accounts erst einmal übernommen, ergeben sich zudem weitere Angriffsmöglichkeiten, Zugang zu weiteren Logins und so weiter und sofort. iLeakage ist in diesem Fall wirklich sehr gefährlich und bietet Angreifern viel Potenzial, besonders großen Schaden anzurichten.

Nutzer eines iPhones müssen sich daher unbedingt absichern. iOS-Geräte sollten dabei möglichst auf dem aktuellsten Stand gehalten werden. Das bedeutet, dass regelmäßig neue Updates installiert und somit Sicherheitslücken, die von iLeakage verwendet werden, geschlossen werden könnten. Zumindest, wenn Apple sich dem Thema denn endlich mal ernsthaft widmet.

Dass selbst eine Zwei-Faktor-Authentifizierung und starke Passwörter nicht helfen, wenn Angreifer via iLeakage einen umfangreichen Zugang haben, sollte inzwischen mehr als deutlich geworden sein. Doch wie können sich iPhone-Nutzer denn dann schützen? Am besten nicht auf verdächtige Links klicken, sich öffnende Fenster sofort wieder schließen oder Safari-Erweiterungen wie StopTheMadness installieren, die den Javascript-Befehl »window.open« im Browser vollständig untersagen und das Öffnen von neuen Fenstern auf diese Weise verhindern können.

Was denken wir über iLeakage?

Es ist überaus besorgniserregend, wenn auch heute noch derartig große Sicherheitslücken in Systemen wie iOS und MacOS gefunden werden. Dabei ist Safari bereits ein sehr sicherheitsbewusster Browser, der Wert auf die Privatsphäre legt. Anders als beispielsweise Google Chrome, hinter dem Google steht, also ein Unternehmen, welches mit den Daten seiner Nutzer Geld verdient. Das ist bei Apple anders.

Zudem hat Apple zuletzt einen noch stärkeren Fokus auf die Sicherheit und Privatsphäre der eigenen Software gelegt. Mit dem Lockdown Mode (auf Deutsch »Blockierungsmodus«) zum Beispiel, dem Private-Relay oder auch nativem Tracker Blocking in Safari. Doch all das sorgt eben nicht dafür, dass die von iLeakage präsentierte Schwachstelle verschwindet. Jedenfalls scheint es derzeit so, denn laut iLeakage besteht diese immer noch.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.