iOS-Sandbox-Lücke steckte in MDM-Verwaltung

Sie wurde mit iOS 8.4.1 Mitte August behoben. Angreifer konnten sich Zugangsdaten zu Firmenservern verschaffen, wenn diese per MDM verteilt wurden. Dieses Verfahren nutzen laut Sicherheitsfirma Appthority 67 Prozent der Firmen-Apps, die Serverzugang benötigen.

Apple hat Mitte August eine Schwachstelle in iOS namens Quicksand (CVE-2015-5749) behoben, die Zugriff auf Firmendaten wie Serverzugänge exponieren konnte. Darauf weist ihr Entdecker Appthority hin. Demnach waren Clients für Mobile Device Management (MDM) ebenso wie per Managed App Configuration verteilte Apps betroffen.

IT-Abteilungen verteilen von MDM-Clients benötigte Zugangs- und Authentifizierungsdaten oft per Push, weil dieses Verfahren Aktualität garantiert und bequem ist. Die Schwachstelle in der Isolierung des Systems – seiner Sandbox – ermöglichte jedoch fremden Apps oder auch dem MDM-Anbieter Zugriff auf solche Daten.

iPad Mini (Bild: Sarah Tew / CNET.com)Appthority schildert ein Szenario, bei dem Angreifer eine manipulierte App auf einem ungepatchten Firmengerät platzieren und damit MDM-Daten abfangen könnten. Auf das fragliche Verzeichnis hätten alle Apps Zugriff. Zu den betroffenen Daten zählen nach seiner Darstellung häufig Server-URL und Zugangsdaten einschließlich im Klartext gespeicherter Passwörter.

Wie schwer die Sandbox-Schwachstelle in der Praxis wiegt, hängt von der konkreten Firma und ihrer Arbeitsweise wie auch ihren Sicherheitskonfigurationen ab. Statistiken von Appthority zufolge erhalten aber 67 Prozent aller von der Konfiguration abhängigen Firmen-Apps ihre Authentifizierungsdaten per MDM.

Appthority hatte die Schwachstelle Apple gemeldet, das sie mit iOS 8.4.1 behob. Wie lange Apple dafür benötigte, teilte die Sicherheitsfirma nicht mit.

iOS 8.4.1 von Mitte August verbesserte Apple Music und schloss insgesamt 71 Sicherheitslücken. 25 Anfälligkeiten beseitigte es alleine in der Browserengine WebKit. Acht als kritisch einzustufende Schwachstellen hatte das TaiG Jailbreak Team entdeckt.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Praxis-Workshop: Samsung S6 und S6 Edge in Active Directory einbinden

In Samsung S6 und S6 Edge-Geräten ist Samsung Knox 2.4 integriert. Unternehmen, die auf Active Directory setzen und parallel auf Samsung-Smartphones, können Samsung Knox an Active Directory anbinden.

Themenseiten: Apple, Appthority, MDM, Security, Sicherheit, iOS, iPad, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu iOS-Sandbox-Lücke steckte in MDM-Verwaltung

Kommentar hinzufügen
  • Am 24. August 2015 um 11:30 von So, so...

    Und wieder hat Apple seinen Kunden nicht mitgeteilt das sie mit einem höchst gefährdetem iOS-System arbeiten. Aber das ist ja normal bei Apple. Viel besser ist da Samsung, Google und Microsoft. Die sind so ehrlich und melden die Probeme sodass sich User darauf einstellen können ( und das hier wieder die Üblichen darauf rum hacken können). Aber Apple hat ja das sicherste System das es jemals auf dieser Welt gab.

    • Am 27. August 2015 um 12:23 von Achso...Ja....

      Aha, Hersteller, deren Betriebssysteme aufgrund der hohen Fragmentierung über Monate ungepatched bleiben, wenn denn überhaupt reagiert wird, und die Schwachstellen offen kommunizieren, so dass jeder potentielle Angreifer diese nutzen kann, handeln also richtig? Wenn Sie Apple-Bashing betreiben möchten, bitte weniger offensichtlich oder gerne auch konstruktive Kritik.

  • Am 27. August 2015 um 16:20 von So, so...

    Ho,ho,ho… da ist mal wieder ein MS und Android-Basher beleidigt das man ganz sachlich etwas zu iOS schreibt. Das geht ja gar nicht….. Bisher war es immer so das die Schwachstellen von Angreifern schon genutzt wurden bevor sie dem jeweiligen Hersteller gemeldet wurde. Aber das darf bei Apple ja nicht sein. Das verbietet ja schon der Applekodex. Es ist immer wieder lustig wie Applefreunde auf MS und Android eindreschen und dann wenn Apple die gleichen Probleme hat alles verharmlosen und jeden der etwas anderes schreibt gleich als Basher oder Hater bezeichnen. Meint ihr wirklich das irgend jemand aufgrund eures Verhaltens hier im Forum zu Apple überläuft? Wer hier mit liest hat meistens schon etwas mehr Erfahrung mit dem hier beschrieben Krempel.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *