{"id":29920,"date":"2023-03-20T13:34:36","date_gmt":"2023-03-20T11:34:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29920"},"modified":"2023-03-20T13:36:32","modified_gmt":"2023-03-20T11:36:32","slug":"ios-macos-nspredicate-class-of-bugs","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ios-macos-nspredicate-class-of-bugs\/29920\/","title":{"rendered":"Warum Sie iOS und macOS schnellstm\u00f6glich aktualisieren sollten"},"content":{"rendered":"

Die j\u00fcngsten Versionen von iOS und iPadOS (16.3) und macOS (Ventura 13.2) haben die unter den Bezeichnungen CVE-2023-23530 und CVE-2023-23531 gef\u00fchrten Sicherheitsl\u00fccken geschlossen. Wir erkl\u00e4ren, was es mit diesen Bugs auf sich hat, warum sie Ihre Aufmerksamkeit verdienen, was die Pegasus<\/a>-Spyware damit zu tun hat und warum Sie diese und zuk\u00fcnftige iOS-, iPad- und macOS-Sicherheitsupdates ernst nehmen sollten.<\/p>\n

\u00a0<\/p>\n

NSPredicate, FORCEDENTRY, Pegasus & Co.<\/h2>\n

Um zu erkl\u00e4ren, warum diese neuesten Updates wichtig sind, ben\u00f6tigen wir ein wenig Hintergrundwissen. Die Software-Grundlage von Anwendungen f\u00fcr Apple-Betriebssysteme hei\u00dft \u2013 auch wenn Sie es vielleicht nicht glauben \u2013 Foundation Framework! Hier ist die Beschreibung<\/a> von Apple dazu:<\/p>\n

\u201eDas Foundation Framework bietet eine grundlegende Funktionsebene f\u00fcr Apps und Frameworks, einschlie\u00dflich Datenspeicherung und -persistenz, Textverarbeitung, Datums- und Zeitberechnungen, Sortieren und Filtern<\/strong> und Networking. Die von Foundation definierten Kategorien, Protokolle und Datentypen werden in den SDKs von macOS, iOS, watchOS und tvOS verwendet.\u201c<\/div>\n

\u00a0<\/p>\n

Vor gut zwei Jahren, im Januar 2021, wurde von einem iOS-Sicherheitsforscher namens CodeColorist<\/a> ein Bericht<\/a> ver\u00f6ffentlicht, in dem gezeigt wurde, wie die Implementierung der NSPredicate<\/a>\u2013 und NSExpression<\/a>-Kategorien (die beide Teil des Foundation Frameworks sind) zur Ausf\u00fchrung von beliebigem Code ausgenutzt werden kann. Diese beiden Klassen sind f\u00fcr das Sortieren und Filtern von Daten zust\u00e4ndig. Das Wichtigste in diesem Zusammenhang ist, dass diese Tools es erm\u00f6glichen, Skripte auf einem Ger\u00e4t auszuf\u00fchren, ohne die digitale Signatur des Codes zu \u00fcberpr\u00fcfen.<\/p>\n

Das prim\u00e4re Ergebnis von CodeColorist bestand darin, dass solche Skripte dazu beitragen k\u00f6nnen, die Sicherheitsmechanismen von Apple zu umgehen \u2013 einschlie\u00dflich der App-Isolierung. Auf diese Weise kann eine b\u00f6sartige App geschrieben werden, die Daten (z. B. die Korrespondenz des Benutzers oder zuf\u00e4llige Fotos aus der Galerie) von anderen Apps stiehlt.<\/p>\n

Im M\u00e4rz 2022 wurde ein Paper \u00fcber die praktische Implementierung<\/a> einer solchen App ver\u00f6ffentlicht \u2013 der Zero-Click-Exploit FORCEDENTRY \u2013 der zur Verbreitung der ber\u00fcchtigten Pegasus-Malware verwendet wurde. Die Schwachstellen in NSPredicate und NSExpression erm\u00f6glichten dieser Malware einen Sandbox Escape<\/a> und den Zugriff auf Daten und Funktionen au\u00dferhalb der streng definierten Grenzen, in denen alle iOS-Apps arbeiten.<\/p>\n

Im Zuge der theoretischen Arbeit von CodeColorist und der praktischen Analyse des FORCEDENTRY-Exploits implementierte Apple eine Reihe von Sicherheitsma\u00dfnahmen und Einschr\u00e4nkungen. Eine neue Studie<\/a> zeigt jedoch, dass diese immer noch leicht zu umgehen sind.<\/p>\n

\u00a0<\/p>\n

Was macht CVE-2023-23530 und CVE-2023-23531 gef\u00e4hrlich?<\/h2>\n

Die Schwachstellen CVE-2023-23530 und CVE-2023-23531 bieten neue M\u00f6glichkeiten zur Umgehung dieser Beschr\u00e4nkungen. Die erste, CVE-2023-23530, ergibt sich daraus, wie Apple das Problem genau angegangen ist. Konkret wurden umfangreiche Sperrlisten von Kategorien und Methoden erstellt, die ein offensichtliches Sicherheitsrisiko innerhalb von NSPredicate darstellen. Der Clou ist, dass man diese Listen durch die Verwendung von Methoden, die nicht in diesen Sperrlisten enthalten sind, l\u00f6schen und dann den gesamten Methoden- und Kategoriensatz verwenden kann.<\/p>\n

Die zweite Schwachstelle, CVE-2023-23531, bezieht sich auf die Interaktion von Prozessen innerhalb von iOS und macOS und darauf, wie der Datenempfangsprozess eingehende Informationen filtert. Kurz gesagt, kann der Sendeprozess den Daten den Tag \u201econtent verified\u201c hinzuf\u00fcgen und dann den Empfangsprozess mit einem sch\u00e4dlichen Skript f\u00fcttern, das das NSPredicate verwendet, und das in einigen F\u00e4llen ohne \u00dcberpr\u00fcfung ausgef\u00fchrt wird.<\/p>\n

Den Forschern zufolge erm\u00f6glichen diese beiden Techniken zur Umgehung von Sicherheits\u00fcberpr\u00fcfungen den Exploit zahlreicher anderer spezifischer Schwachstellen. Angreifer k\u00f6nnten diese Sicherheitsl\u00fccken nutzen, um Zugriff auf Benutzerdaten und gef\u00e4hrliche Betriebssystemfunktionen zu erlangen und sogar Anwendungen (einschlie\u00dflich Systemanwendungen) zu installieren. Mit anderen Worten: CVE-2023-23530 und CVE-2023-23531 k\u00f6nnen verwendet werden, um Exploits des Typs FORCEDENTRY zu erstellen.<\/p>\n

Um die F\u00e4higkeiten von CVE-2023-23530 und CVE-2023-23531 zu demonstrieren, haben die Forscher ein Video erstellt, das zeigt, wie eine b\u00f6sartige Anwendung dazu gebracht werden kann, Code innerhalb von SpringBoard<\/a> (der Standardanwendung, die den Startbildschirm auf iOS verwaltet) auf einem iPad auszuf\u00fchren. SpringBoard verf\u00fcgt seinerseits \u00fcber erweiterte Privilegien und diverse Zugriffsrechte \u2013 unter anderem auf die Kamera, das Mikrofon, das Anrufprotokoll, Fotos und Geolokalisierungsdaten. Dar\u00fcber hinaus kann es das Ger\u00e4t komplett bereinigen.<\/p>\n

\u00a0<\/p>\n

Was das f\u00fcr die Sicherheit von iOS und macOS bedeutet<\/h2>\n

Wir m\u00f6chten betonen, dass die Gefahren, die von CVE-2023-23530 und CVE-2023-23531 ausgehen, lediglich theoretischer Natur sind: Bisher sind keine F\u00e4lle bekannt, in denen die Sicherheitsl\u00fccken in freier Wildbahn ausgenutzt wurden. Au\u00dferdem wurden sie mit den Updates f\u00fcr iOS 16.3 und macOS Ventura 13.2 gepatcht, d. h., wenn Sie diese rechtzeitig installieren, sind Sie vermeintlich gesch\u00fctzt.<\/p>\n

Wir wissen jedoch nicht, wie gut Apple die Sicherheitsl\u00fccken dieses <\/em>Mal geschlossen hat. Vielleicht werden auch f\u00fcr diese Patches Workarounds gefunden. Jedenfalls waren sich die Forscher im Gespr\u00e4ch mitWired<\/em> ziemlich sicher, dass auch weiterhin neue Schwachstellen dieser Art auftreten werden<\/a>.<\/p>\n

Bedenken Sie, dass es nicht ausreicht, Skripte in iOS mit NSPredicate auszuf\u00fchren, um einen erfolgreichen Hack durchzuf\u00fchren. Ein Angreifer muss immer noch irgendwie auf das Ger\u00e4t des Opfers zugreifen k\u00f6nnen, um damit irgendetwas anstellen zu k\u00f6nnen. Im Fall von FORCEDENTRY wurden daf\u00fcr andere Schwachstellen<\/a> ausgenutzt: Eine infizierte PDF-Datei, die als harmlose GIF-Datei getarnt war, gelangte \u00fcber iMessage auf das Zielger\u00e4t.<\/p>\n

Die Wahrscheinlichkeit, dass solche Schwachstellen f\u00fcr APT-Angriffe<\/a> genutzt werden, ist hoch, daher lohnt es sich, die Gegenma\u00dfnahmen zu wiederholen, die Sie ergreifen k\u00f6nnen. Costin Raiu, der Leiter unseres Global Research & Analysis Team (GReAT), erkl\u00e4rt in einem gesonderten Beitrag ausf\u00fchrlich, wie Sie sich vor Malware der Pegasus-Klasse sch\u00fctzen<\/a> k\u00f6nnen und warum diese Ma\u00dfnahmen funktionieren. Hier eine kurze Zusammenfassung seiner Empfehlungen:<\/p>\n