Sicherheitslücke in Apples Browser Safari noch offen – und was Sie dagegen tun können

Moderne Prozessoren besitzen eine grundsätzliche Schwachstelle in ihrer Hardware-Architektur, die es Angreifern erlaubt, sensible Daten zu erbeuten. Das zeigte der 2018 veröffentlichte Angriff namens „Spectre“. Zahlreiche Geräte und Betriebssysteme waren betroffen. Hersteller entwickelten daraufhin Gegenmaßnahmen – so auch Apple für seinen Browser Safari.

Fast fünf Jahre später haben Forscher gezeigt, dass Mac- und iOS-Systeme noch immer nicht hinreichend vor dieser Art von Angriff geschützt sind. Ein Team der Ruhr-Universität Bochum und des US-amerikanischen Georgia Institute of Technology beweist damit, dass die Schwachstelle über den Apple-Browser Safari noch immer ausgenutzt werden kann, um Zugriff auf Passwörter, E-Mail-Inhalte oder Standortdaten zu bekommen. Gefährdet ist zudem nicht nur Safari, sondern „nahezu alle im Apple App Store gelisteten Browser“.

Auf die falsche Seite gelotst

Für den neuen Angriff namens „iLeakage“ müssen Angreifer die Benutzer zunächst auf eine von ihnen kontrollierte Website lotsen. „Nutzerinnen und Nutzer können nicht erkennen, wenn sie auf solch einer Webseite gelandet sind“, erklärt Yuval Yarom von der Fakultät für Informatik der Ruhr-Universität Bochum. „Wie immer gilt also, dass man nur vertrauenswürdige Seiten anklicken sollte“, rät er.

Besucht ein Nutzer die Website des Angreifers, kann dieser das Mailprogramm des Nutzers in einem neuen Fenster öffnen und Inhalte aus dem Posteingang auslesen. Oder er kann weitere Websites aufrufen, beispielsweise die Login-Seite einer Bank, bei der der Nutzer Kunde ist.

„Wir konnten auch zeigen, dass der Angreifer automatisch die Login-Daten aus dem Passwortmanager LastPass einsetzen könnte, wenn die Auto-Fill-Option eingeschaltet ist“, sagt Yuval Yarom. Auf diese Weise ließen sich vermeintlich sicher gespeicherte Passwörter erbeuten.

Hardwareproblem mit Update schließen

Die Sicherheitslücke entsteht durch das Funktionsprinzip moderner Prozessoren. Wenn Prozessoren eine Reihe von Befehlen erhalten, führen sie sie nicht einen nach dem anderen aus, sondern parallel. Dabei werden manchmal auch Prozesse gestartet, für die gewisse Bedingungen erfüllt sein müssen – auch wenn noch nicht klar ist, ob das der Fall ist. Diese spekulative Vorgehensweise macht die Systeme schneller. Einfach erklärt: Das System versucht, vorherzusagen, was der Nutzer machen wird, und startet den wahrscheinlich erforderlichen Prozess.

Wenn sich herausstellt, dass der Prozess nicht benötigt wird, verwerfen die Prozessoren die Vorhersage und starten neu. Die verworfenen Prozesse verändern dabei den Zustand des Systems. Und genau das ist der Schwachpunkt. Aus diesen Veränderungen können Angreifer sensible Speicherinhalte auslesen.

Zum Schutz vor dieser Form von Seitenangriffen haben Anbieter Gegenmaßnahmen in ihre Browser eingebaut. In Safari soll beispielsweise jede geöffnete Website in einem eigenen Prozess verarbeitet werden. Die Forscher aus Bochum zeigten jedoch, dass sie den Schutz umgehen und eine zweite Website im selben Prozess öffnen konnten. So sind Angreifer in der Lage, Informationen abzugreifen, die eigentlich unantastbar sein sollten.

Mittlerweile bietet Apple erste Software-Updates für Safari an, die zum Ziel haben, die Schwachstelle zu beheben. Weitere Updates sind in Arbeit. Auf der Website ileakage.com beschreiben die Forscher, welche Updates verfügbar sind und wie man sie im jeweiligen Betriebssystem aktivieren kann.

Sicherheitslücke und Reparatur für Fortgeschrittene

Wie an dieser Stelle ebenfalls aufgeführt, ist den Forschern nicht bekannt, ob „iLeakage“ bereits missbräuchlich angewendet worden ist oder nicht. Gleichzeitig weisen sie darauf hin, dass es „ein erheblich schwieriger Angriff ist, der […] fortgeschrittene Kenntnisse [einschließlich] zur Implementierung von Safari erfordert“. Andererseits sei es „sehr unwahrscheinlich, dass ‚iLeakage‘ entdeckt wird, da der Angriff in Safari ausgeführt wird und keine Spuren in den Protokolldateien des Systems hinterlässt“.

Informiert haben Yarom und Kollegen Apple übrigens bereits Mitte September 2022 – also über 400 Tage vor ihrer Veröffentlichung. Wer sich und seine Daten angesichts dessen selbst schützen möchte, dem sei ein Blick auf die obige Website empfohlen.

Während die Aktivierung des Lockdown-Modus oder die Deaktivierung von JavaScript nur bedingt helfen, können Nutzer von macOS Ventura 13.0 und höher selbst aktiv werden, allerdings mehr oder weniger auf eigene Gefahr: Obwohl Apple eine entsprechende Funktion in Safari für diese Systeme eingebaut hat, ist diese standardmäßig deaktiviert, funktioniert ausschließlich auf macOS und ist als „instabil“ markiert.

Mit anderen Worten, die Schließung der Sicherheitslücke befindet sich noch immer in der Entwicklung und funktioniert nur auf Computern und Laptops, nicht aber auf dem Handy oder anderen Apple-Geräten. Nutzer, die sich nicht davor scheuen, mit „Terminal App“, „Safari Technology Preview“ oder einem „geheimen Debugging-Modus“ in Safari zu arbeiten, können so die Schwachstelle auf ihren Geräten schließen. Eine detaillierte Schritt-für-Schritt-Anleitung bietet das an der Forschung beteiligte Georgia Institute of Technology HIER.

(Mit Material der Ruhr-Universität Bochum)