Der Sicherheitsforscher Alex Birsan hat sich etwas zunutze gemacht, was er selbst als „dependency confusion“ (deutsch: „Abhängigkeitsverwirrung“) bezeichnet. Sie ermöglicht ihm einen Installer-Angriff, der als Apple-Hack eingesetzt werden kann, aber auch Barrieren in Systemen von Microsoft, PayPal und anderen Unternehmen überwinden kann.
Microsoft, PayPal und Apple: Hack legt Schwächen frei
Indem er Malware in Open-Source-Repositories hochlud, konnte der Forscher Alex Birsan beliebte Installer so austricksen, dass sie seinen Schadcode herunterluden. Im Fall des Apple-Hacks konnte Birsan mehrere Rechner im internen Netzwerk des Unternehmens kompromittieren, nachdem sie Schadcode in einem Node-Paket heruntergeladen hatten, das er auf npm, einen Paketmanager für JavaScript, hochgeladen hatte.
Apple teilte dem Forscher mit, dass die Schwachstelle genutzt werden könnte, um Remotecodeausführung auf Apple-Servern zu erreichen. Auf die Frage von Birsan, ob ein Angreifer eine Hintertür in Apple ID hätte einschleusen können, habe das Unternehmen erklärt, dass „das Erreichen einer Hintertür in einem operativen Dienst eine komplexere Abfolge von Ereignissen erfordert und ein sehr spezifischer Begriff ist, der zusätzliche Konnotationen mit sich bringt.“
Bereits binnen der ersten zwei Wochen nach der Offenlegung seiner Schwachstelle hat der iPhone-Macher aus dem kalifornischen Cupertino diese behoben. Obwohl er den Fehler schon im August 2020 an Apple meldete, sagte Birsan, dass er seine Bug Bounty-Zahlung erst im Februar 2021 vor dem Schreiben seines Berichts auf Medium erhalten habe.
Apples Sicherheit in der Schwebe
Eine kritische Schwachstelle machte der iPhone-Sicherheit bereits Ende 2020 Probleme. Experten verrieten, was es mit dem Exploit auf sich hat. Die Apple-Sicherheit scheint nicht ganz deinen Wünschen zu entsprechen. Vielmehr behindert sie die Entdeckung ungewollter Programme (PUPs).