Manipulierte Shortcuts können aus Apples Sandbox ausbrechen und so auf Systemdateien mit persönlichen Nutzerdaten zugreifen, warnen Sicherheitsforscher.

Vorsicht beim Download von Shortcuts für Apples Kurzbefehle-App: Eine Schwachstelle erlaubt es Workflows, auf Systemdateien zuzugreifen, die eigentlich durch die iOS-Sandbox abgeschottet sein sollten. Eine simple Directory-Traversal-Lücke ermöglicht den Einblick in sonst geschützte Verzeichnisse, die umfassende Daten über die Nutzung des Gerätes beinhalten, wie Entwickler warnen.

Die in Apples Kurzbefehle-App hinterlegte Aktion „Ordner erstellen“ lässt sich einsetzen, um aus der Sandbox auszubrechen, erklärt der Sicherheitsforscher @userlandkernel. Dafür reiche es, durch eine Reihe von „../“-Befehlen sich in der Verzeichnisstruktur weiter nach oben zu bewegen, um dann ein gewünschtes Verzeichnis zu öffnen – dabei versagt offenbar die Sandbox.

Der Entwickler demonstriert in einem Workflow, wie sich so Systemdateien auslesen – in diesem Fall harmlose Informationen über das iPhone-Modem – und als Zip-Datei per iMessage verschicken lassen. So sei es aber etwa ebenso möglich, in die die SMS-Datenbank, Notizen, Nutzungsinformationen und andere Analytics-Daten Einblick zu erhalten, schreibt der Sicherheitsforscher.

Auf diese Weise lasse sich etwa auch die Konfiguration von Apples Heimvernetzungsprotokoll HomeKit klauen und auf zwischengespeicherte Bilder von Sicherheitskameras zugreifen, merkt der Entwickler Khaos Tian an, der Ende 2017 eine gravierende HomeKit-Lücke entdeckt hatte.

Eine Möglichkeit, die Schwachstelle aus der Ferne ohne Nutzerinteraktion zu verwenden, ist derzeit nicht bekannt. Angreifer können manipulierte Shortcuts aber zum Download bereitstellen: Bis Apple die Lücke in Shortcuts beseitigt, sollten Kurzbefehle-Anwender heruntergeladene Shortcut erst genau prüfen, bevor sie diese ausführen. Apple bietet in der App zwar keine von Nutzern erstellten Workflows an, diese lassen sich aber über verschiedene Webseiten beziehen und stellen meist die bequemere Alternative zum Selbsterstellen von Workflows dar.