Das Problem liegt in der Kommunikation zwischen Apps untereinander und mit dem Betriebssystemen. Die Forscher haben herausgefunden, dass weder das Betriebssystem noch alle Apps überprüfen, ob Anfragen von einer berechtigten App kommt oder von einer fremden App. Vereinfacht ausgedrückt: Betrüger können unter falscher Flagge Daten aus den Apps abgreifen. In dem jetzt veröffentlichten wissenschaftlichen Aufsatz (PDF) wird dies als Cross-App Ressource Access bezeichnet. Die Wissenschaftler sprechen verkürzt von einer Xara-Sicherheitslücke.

Fast 90 Prozent der Programme betroffen

Die Forscher haben mehr als 1600 Apps für Mac OS X und 200 Apps für iOS untersucht. Bei 89 Prozent sind Xara-Sicherheitslücken aufgetreten. So sollen Fotos aus dem Messenger WeChat oder Notizen aus Evernote abgelesen worden sein. Auch Sicherheitsmerkmale vom Passwortmanager 1Password konnten abgefangen werden. In dem Aufsatz der Wissenschaftler wird auch erklärt, dass sie Programme im App-Store unterbringen konnten, welche die Sicherheitslücken ausnutzen. Die Sicherheitscheck beim Einreichen einer neuen App hätten die Lücke demnach nicht erkannt.

Apple ist nach Angaben der Forscher vor einigen Monaten informiert worden. Es ist üblich, dass Unternehmen ein paar Monate Zeit bekommen, um die Lücken zu schließen. Die Forscher kritisieren, dass Apple sich allerdings noch nicht um die Lücken ausreichend gekümmert hat. Aus diesem Grund haben sie jetzt die Dokumentation der Sicherheitslücke veröffentlicht.

Kein Gegenmittel für Apple-Kunden

Das bedeutet natürlich auch, dass mehr Betrüger auf diese massiven Sicherheitslücken aufmerksam geworden sind und versuchen könnten, diese auszunutzen. Das ist für Apple-Kunden sehr ärgerlich.

Vor allem auch, weil sie sich selbst nicht schützen können. Der einzige Rat lautet: Installieren Sie nur Apps, die von bekannten Herstellern kommen. Kleinere oder unvertrauenswürdige App-Anbieter könnten unbemerkt die Sicherheitslücken ausnutzen.

In diesen Videos demonstrieren die Forscher die Lücken: