Datenexfiltration mit dem Safari-Browser

Apples Datenschutzsystem TCC versagt bei der eigenen Web-App. Angreifer können Kopien erstellen und modifizieren.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 21 Beiträge

Safari – hier bereits in macOS 11 alias Big Sur.

(Bild: Apple)

Von

Ein Entwickler hat ein Problem mit Apples Safari-Browser in macOS entdeckt, das es Hackern und Malware erlaubt, Apples Systemschutz TCC ("Transparency, Consent and Control") zu umgehen. Eine Exfiltration von Daten soll so möglich sein, schreibt Jeff Johnson von Lapcat Software. Er habe den Fehler Apple vor über einem halben Jahr gemeldet, noch habe sich aber nichts getan.

Simpel gesprochen kann eine macOS-Anwendung eine Kopie von Safari erstellen, darin JavaScript-Code verändern und schließlich private Daten entwenden – beispielsweise die Bookmark-Liste oder die am häufigsten aufgerufenen Websites. TCC sollte dies eigentlich verhindern, weil ein vollständiger Festplatten- bzw. SSD-Zugriff ("Full Disk Access"), der notwendig ist, um auf Daten außerhalb des eigenen App-Containers zuzugreifen, eine Nachfrage beim Nutzer bedingt.

Johnson nutzt hier einen Bug in Safari aus, der es erlaubt, JavaScript im Kontext der Haupt-App auszuführen statt in der für einen sogenannten Web-Content-Helper notwendigen Sandbox. macOS vertraut offenbar dem Bundle-Identifier der Safari-Kopie und prüft die Code-Signatur ebenso wenig vollständig wie den Dateipfad.

Entwickler Johnson fragt sich, ob die Bedingungen, die TCC legitimen Apps auferlegt, Malware wirklich stoppen. Seiner Ansicht nach lautet die Antwort "nein". "Es gibt zu viele Löcher im System." Er selbst ist auch frustriert, weil Apple auf seine Sicherheitsmeldung, die auch im Rahmen des Bug-Bounty-Programms des Konzerns erfolgte, nicht wirklich reagierte.

Im Januar 2020 hätte Apple mitgeteilt, man wolle das Problem im Frühjahr angehen, doch geschehen sei nichts. Johnson ist nicht der erste Developer, der Apples Bug-Bounty-Programm kritisiert. Apple zahlt demnach zu wenig beziehungsweise hat es falsch strukturiert. Mancher Fehlerjäger geht daher lieber zu Exploit-Aufkäufern. (bsc)