Thought Leadership
Das Threat-Labs-Team von Jamf hat ein neues Sicherheitsrisiko identifiziert. Es handelt sich um einen Weg den Transparency, Consent, and Control (TCC)-Mechanismus von iOS-basierten Betriebssystemen zu umgehen.
Das führt dazu, dass Nutzer nicht benachrichtigt werden, wenn eine bösartige Anwendung versucht, auf sensible Informationen wie Fotos, Kontakte, GPS-Daten zuzugreifen. In macOS 15 und iOS 18 hat Apple die Sicherheitslücke mit der Bezeichnung CVE-2024-44131 bereits gepatcht.
Wie funktioniert der TCC Bypass?
macOS und iOS nutzen das TCC-Framework, um Nutzer zu benachrichtigen, wenn eine Anwendung versucht auf sensible Informationen zuzugreifen. Nutzer können den Zugriff dann gewähren oder verweigern. Die identifizierte Schwachstelle im TCC-Mechanismus sorgt dafür, dass Drittanbieteranwendungen auf sensible Informationen zugreifen können, ohne dass der Nutzer informiert wird und dem Zugriff zustimmt. Dieser Vorgang hinterlässt keine Spuren, was das Risiko für die Datensicherheit und Privatsphäre der Nutzer noch einmal erhöht.
Die Sicherheitslücke basiert auf einem Exploit, der symbolische Links (Symlinks) nutzt, die als Verweis auf eine andere Datei oder ein anderes Verzeichnis in einem Dateisystem dienen. Wenn ein Nutzer Dateien innerhalb des Verzeichnisses Files.app verschiebt oder kopiert, kann eine im Hintergrund laufende schädliche App diese Aktionen unterbrechen und die Dateien stattdessen an von der App kontrollierte Speicherorte umleiten.
Die App missbraucht dafür die erweiterten Berechtigungen des Fileproviderd-Prozesses, mit dem üblicherweise die Synchronisation von Daten in die Cloud verwaltet wird. Dank dieser Berechtigungen wird der TCC-Mechanismus nicht ausgelöst und die App ist in der Lage die betroffenen Daten zu verbergen, zu löschen oder sogar auf einen Remote-Server hochzuladen, ohne dass der Nutzer informiert wird. Eine ausführliche Betrachtung der Sicherheitslücke finden Sie im Blogbeitrag von Jamf.
Relevanz und Implikationen
CVE-2024-44131 verdeutlicht noch einmal eine allgemeine Herausforderung im Hinblick auf Datensicherheit: Angreifer konzentrieren sich zunehmend auf Daten, auf die von mehreren Standorten aus zugegriffen werden können. Das bedeutet, dass sie sich bei ihren Angriffen auf vernetzte Systeme lediglich die am wenigsten geschützten Endpunkte (z.B. Mobilgeräte wie Smartphones) kompromittieren müssen und trotzdem Zugang zu den stärker geschützten erhalten – insbesondere die Synchronisierung von Daten über verschiedene Endgeräte hinweg trägt dazu bei.
Das heißt, dass gerade im Unternehmenskontext alle Endpunkte, einschließlich mobiler Endgeräte, die nicht sicherer oder risikoärmer sind als Desktop-Geräte, gleichermaßen umfassend geschützt werden müssen. Unternehmen sollten auf Lösungen zur Überwachung des Verhaltens von Apps setzen, um unbefugte Manipulation von Dateien proaktiv zu identifizieren und zu blockieren.
(pd/Jamf)
