iOS, Mac OS X Sicherheitslücke XARA und was es für Unternehmen bedeutet

 

XARA-Angriff

iOS und MacOSX: Gravierende Sicherheitsmängel 

Ein kürzlich veröffentlichtes Paper von sechs IT-Sicherheitsexperten der Universitäten Indiana, Georgia und Peking, stellt gravierende Sicherheitsmängel des Betriebssystems von Apple fest (iOS und OS X). Das Fazit der Studie hätte nicht gravierender ausfallen können.[1]

Durch die Nachforschungen der IT-Sicherheitsexperten wurden eine Reihe von schwerwiegenden Sicherheitsschwachstellen aufgedeckt. Bösartige Apps, freigegeben durch Apple, erlangen Zugriff auf sensible Daten anderer Apps wie zum Beispiel Passwörter für iCloud, Zugriff auf den nativen Email-Client, oder sogar auf Bankdaten welche von Apps verwaltet werden. Aus einer Auswahl der 1.612 beliebtesten Mac und 200 iOS Apps waren laut der Studie 88,6% dem Sicherheitsrisiko ausgesetzt.  Somit ist verifiziert, dass die Schwachstelle bei populären Apps wie WhatsApp, Google Drive, Dropbox, Facebook, Twitter, Evernote, Pinterest, 1Password oder ähnlichen existiert. Der Angriff der sich gegen Apples cross-app resource-sharing richtet, wurde mit dem Schlagwort XARA (cross-app resource access) benannt.

Zwar ist das genannte Sicherheitsproblem bis jetzt nur auf iOS und MacOSX aufgetaucht, allerdings sei XARA laut der Studie nur die Spitze des Eisberges.[2]

XARA – besonders gefährlich für Unternehmen

Für alle Unternehmen, die iOS bisher als sichere Alternative zu Android erachteten ist jetzt klar, dass ein Umdenken stattfinden muss und das Apples Betriebssystem mindestens genauso anfällig für Angriffe ist. Vor allem ist es als kritisch zu betrachten, dass die sonst so vermeintlich strengen Auflagen des Apple App Stores sich als wirkungslos herausgestellt haben. Dies wirft grundsätzlich die Frage auf, ob Apples eigenen Kontrollen ein ausreichendes Mittel sind, um Sicherheitsanforderungen von Unternehmen gerecht zu werden.

Die Sicherheitslücke konnte von Apple bis jetzt nicht behoben werden.

Die Sicherheitslücke wurde bereits im Oktober 2014 ausfindig gemacht und Apple daraufhin kontaktiert. Allerdings hat es Apple bisher versäumt die Lücke mit einem entsprechenden Patch zu beseitigen. Daher ist mit der Veröffentlichung des Reports zu erwarten, dass die Zahl der bösartigen Apps, welche die Sicherheitslücke auszunutzen wollen, deutlich ansteigt. Genau deshalb ist es wichtig sich jetzt dagegen zu schützen.

Schon immer auf der sicheren Seite durch das mTrust App Center

Das mTrust App Center prüft seit Markteinführung, ob Apps URL-Schemes verwenden und damit anfällig für die XARA Angriffe sind.

Hier hebt sich unser Produkt maßgeblich von der Konkurrenz ab, welche nur oberflächliche Überprüfungen vornehmen. Auch im Gegensatz zu der alternativen Lösung eines App-Containers (abgeschotteter Bereich mit zugelassenen Apps auf mobilen Endgeräten) erkennt das mTrust App Center, ob Apps für XARA anfällig sind oder nicht. Da wir Consumer-Apps gegen das Sicherheitsrisiko XARA mit manuellen Tests schon seit je her abgesichert haben, sehen wir unser Produkt mTrust App Center als die ausgereifteste Lösung gegen XARA.

Das mTrust App Center stellt die gesammelten Testergebnisse der Apps, mit Hilfe eines intuitiv zu bedienenden Portals, zur Verfügung. Unser Portal ermöglicht es Ihnen verschiedene, individuelle Sicherheitsprofile gemäß diverser Benutzergruppen in Ihrem Unternehmen zu erstellen und somit Ihre spezifischen Sicherheitsanforderungen abzubilden.

Schützen Sie sich heute noch gegen XARA und den vielen weitere Gefahren von Consumer Apps!

Weitere Info                                                                                                   Demo mTrust App Center

Quelle:

[1] Unauthorized Cross-App Resource Access on MAC OS X and iOS

[2] Serious OS X and iOS flaws let hackers steal keychain, 1Password contents

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *