Sechs Forscher der Universitäten Indiana, Georgia und Peking haben herausgefunden, dass mit Malware in Mac OS X und iOS einfach Passwörter oder andere kritischen Daten abgegriffen werden können. Zudem sei es ihnen möglich gewesen, Schadsoftware selbst in Apples App-Store unterzubringen. Ihre Resultate haben die Sicherheitsspezialisten in einer ausführlichen Studie festgehalten. Ihnen soll es demnach gelungen sein, in abgeschotteten Umgebungen mit eigens programmierten Apps Passwörter auszulesen oder sich die Zugangsdaten zur iCloud zu verschaffen. Möglich mache diesen als gravierend eingestuften Befund eine lückenhafte Sicherheitsüberprüfungen in der App-to-App- und App-to-OS-Kommunikation.

Die IT-Security-Experten haben auf die "Cross-App Resource Access Attacks" (XARA) genannten Angriffstechniken gesetzt, die trotz der Abschottung von Apps durch Sandboxing funktioniert hätten. So wollen sie mit solchen schädlichen Apps neben Passwörtern und Zugangscodes auch sensitive Daten anderer Programme eingesehen haben. Die Schwachstellen sollen hauptsächlich in Mac OS X aber auch in iOS entdeckt worden sein. Die Apps, mit denen man die App-Stores von Apple geknackt habe, seien - nachdem man Apple informiert hatte - wieder zurückgezogen worden.

Apple sei aber schon vor sechs Monaten informiert worden, habe die Schwachstellen auch bestätigt, doch die Löcher nur unzureichend oder gar nicht gestopft. Inzwischen hat Apple aber die exzellente Arbeit der Forscher gelobt und Abhilfe versprochen. Das geschah aber erst nachdem die Forscher Apple mangelhafte Informationspolitik vorgeworfen hatten und ein Artikel auf 'The Register' erschienen war.

Laut er Studie wurde über vorhandene Sicherheitsfunktionen angeblich nicht informiert und die Apps daraufhin auch nicht überprüft. Das gelte auch bei der Zulassung zum Apple-Store, wo die Prüfmechanismen ebenfalls versagt hätten. Insgesamt hatten die Forscher mehr als 1'600 Mac- und iOS-Apps aus dem Apple-Store unter die Lupe genommen. Dabei habe sich gezeigt, dass über 88 Prozent sich mit mindestens einer der entdeckten Schwachstellen knacken lässt. (vri)