XARA Angriff auf Passwörter

Die XARA Lücke *

So genannte Cross-App Resource Access Attacks (XARA) sind möglich, weil es unter iOS und MAC OS X diverse Systemdienste gibt, über die Anwendungen miteinander Daten austauschen können. Wie sich jetzt zeigte, können manipulierte Apps sich in diese Dienste einklinken und Passwortdaten abgreifen.

Apple iOS und MAC OS X bieten Anwendungen eine Möglichkeit, Passwörter und Zugangsdaten zu speichern. Dabei kommt der sogenannte Schlüsselbund (Keychain) zum Einsatz. Auf diese bequeme Art speichern auch diverse Passwort-Manager sensible Daten. Da Apple Anwendungen gegeneinander abschottet, gibt es nur wenig Möglichkeiten, über die Grenzen der eigenen Anwendung hinaus mit anderen Anwendungen Daten auszutauschen. Der Schlüsselbund, als gemeinsame Ablage für sensible Daten, ist so eine Möglichkeit.

Zum Beispiel kann ein Plug-In für Safari auf die gleichen Einträge im Schlüsselbund zugreifen, wie die Hauptanwendung zur Verwaltung von Passwörtern. Bequem, weil man im Safari Browser so eine Möglichkeit hat, Passwörter aus dem Schlüsselbund abzurufen und in die WEB Seite zu übertragen. Wie sich jetzt zeigt, bezahlt man für besondere Bequemlichkeit einen besonders hohen Preis. Genau auf diesen Schlüsselbund können manipulierte Apps zugreifen.

Die betroffenen Anbieter können an diesem Umstand nur schwer etwas ändern, da es sich um eine Lücke auf Systemebene handelt. Alternativ müsste man auf die Verwendung des Schlüsselbunds verzichten. Als Anwender kann man sich gegen diese Gefahr leider zur Zeit eher nicht schützen und muss darauf hoffen, dass Apple zeitnah reagiert.

Was ist mit ArchiCrypt Passwort Safe unter iOS? *

ArchiCrypt Passwort Safe kommuniziert mit keiner Anwendung auf direktem Wege und verwendet den systemeigenen Schlüsselbund NICHT! Manipulierte Anwendungen sind folglich nicht in der Lage, auf diesem Wege auf die Passwörter zuzugreifen.

Besonders sicher ist die Verwendung von ArchiCrypt Passwort Safe iOS dann, wenn Sie den integrierten Browser verwenden. Sie sollten also darauf verzichten, Passwörter über die Zwischenablage an andere Anwendungen wie zum Beispiel Safari zu übertragen. Die Zwischenablage kann durch andere Anwendungen eingesehen werden.

Weiterführende Links:

heise.de Zeroday-Lücken in iOS und OS X: Bösartige Apps können offenbar Passwörter auslesen

chip.de Alle Apple-Passwörter unsicher: Xara-Lücke in iOS und OS X schockt IT-Welt

Beitragsbild: Stockfoto-ID: 51220297 - Copyright: Flynt

 

Das könnte Dich auch interessieren...

Zum Angang...