Sicherheitsrisiko Safari 5 Extensions – Keylogging kein Problem!

Sicherheitsrisiken von Safari Erweiterungen und warum Approval-Prozesse manchmal Sinnvoll sind.

(Gastbeitrag von Constantin Müller, Autor von GoMBoX)

Seit Dienstag kann Safari 5 Erweiterungen. Ich habe mich die ganze Woche mit der Funktionsweise von den Erweiterungen beschäftigt (da ich ja auch schon Dienstag nacht meine erste Erweiterung veröffentlicht hatte). Allerdings hatte ich mir über Sicherheit keine großen Gedanken gemacht: Ist von Apple, läuft alles in einer Sandbox und muss sogar signiert werden. Doch dann wurde im Mac-TV Forum die Frage nach der Sicherheit gestellt (Keylogger, Tracking usw…).

Das Tracking mit Extensions möglich ist, wusste ich und ist an sich auch logisch. Irgendwann hatte ich im Apple-Developer-Forum gelesen, dass jemand Probleme hatte auf Passwortfelder zuzugreifen. Ich hatte nicht weitergelesen und dachte, dass dies aus Sicherheitsgründen nicht möglich wäre.

Nach dem Forumseintrag machte ich mir dann doch Gedanken, denn man könnte ja dass Passwortfeld in ein normales Textfeld Umwandeln auslesen und wieder zurück wandeln. Oder wäre es auch möglich einfach das Passwortfeld verschwinden zu lassen und ein zweites gefaktes einzufügen usw…

Es kam noch schlimmer: Nach 5 Minuten ist es mir gelungen den Inhalt aus Passwortfeldern zu lesen. Nix mit Apple eigenem Schutz! Nach weiteren 5 Minuten habe ich etwas implementiert mit dem ich das Passwortfeld regelmäßig auslesen könnte. Würde man jetzt noch eine Funktion implementieren, welche diese Daten an einen „bösen Server“ sendet, was technisch und zeitlich maximal noch einmal 10-20 Minuten in Anspruch nehmen würde, könnte man die Zugangsdaten auf einer Datenbank speichern und dann damit böse Sachen machen.

Ich will jetzt keine Angst schüren, aber Ich will bewusst machen, dass da eine Lücke aufklafft, welche Apple möglichst schnell zu schließen hat. und selbst dann gibt es mit Sicherheit jede Menge Möglichkeiten mit den Erweiterungen Blödsinn anzurichten. Sehr gern wüsste ich, wie diese Probleme bei den Firefox-Plugins gelöst werden. Apple hat natürlich einen kleinen Ansatz mit den Signaturen geliefert, wobei dies Hinfällig ist, da, selbst wenn Apple einen Entwickler bannt, man sich jederzeit einen neuen Entwickler-Account anlegen kann und sich damit ein neues Zertifikat ausstellen kann.

Jetzt wird erst klar, warum ein Approval-Prozess wie beim AppStore sehr nützlich oder sogar notwendig sein kann. Bei Safari wird hier ein anderer und evtl. besserer Ansatz verfolgt: Apple wird in kürze ein Verzeichnis bereitstellen, in welchem man  zugelassene (und hoffentlich auf Keylogger kontrollierte) Erweiterungen herunter laden kann. Dann sollte man sich überlegen, ob man nur zugelassene Erweiterungen installiert oder jede, welche gerade frisch auf den Markt gekommen ist.

Doch selbst der Approval-Prozess bei Apple ist nicht sicher, da die Datei vom Verzeichnis nicht auf den Apple-Servern liegt, sondern auf dem vom Entwickler angegebenem. Das heißt man könnte die Datei theoretisch später mit der gefährlichen austauschen. Auch, dass Apple dagegen etwas tut hoffe ich!

Update:

Ich habe gerade über Twitter gesagt bekommen, dass Approvle-Prozesse in dem Fall nichts bringen. Das ist richtig, denn wenn ich „böses“ vorhabe schaff ich es. Allein, dass updates den Prozess von Apple umgehen wäre schon ein Einfallstor. Danke @frubi

Außerdem wurde mir gesagt, dass Firefox Plugins auch getestet werden. Allerdings ist dies nur der Fall, wenn man die Erweiterungen auf der offiziellen Firefox-Erweiterungen-Plattform haben will – eben genau so wie bei Safari bald. Wie gut und auf was die Erweiterungen getestet werden weiß ich von keiner Plattform. Danke @benny21mm

Mir wurde von @DeltaLima gerade noch einmal mitgeteilt, dass es bei Firefox die genannten Probleme ja auch gibt, es trotzdem zu keinen nennenswerten Problemen gekommen ist. Mir ist da auch nichts bekannt, allerdings sollte man sich darauf besser nicht ausruhen

Wichtig für jetzt: Schaut welche Erweiterung ihr wo herunter ladet und ob es schon Kommentare dazu gibt. Außerdem wünsche ich mir, dass Apple ein schnelles Sicherheitsupdate nachliefert.

Wie ihr vielleicht gemerkt habt ist dies ein Gastbeitrag. Ich bin Constantin Müller (auch bekannt als ubahnverleih), und werde in Zukunft ab und zu einmal einen Gastbeitrag auf Bernds Blog veröffentlichen. Momentan schraube ich an meiner (sicheren) Safari-Erweiterung GoMBoX.

Bitte bewerte diesen Blog-Artikel. Dankeschoen!

Bewertung 4 Sterne aus 1 Meinungen

Bernd

Mensch, Mann, Blogger, Screencaster, Gadgeteer, Early Adopter, Xbox, Mac / Android User & MacDaddy. Co-Founder von drei Kindern. Besitzer von rosenblut.org und sehr aktiv bei YouTube, Twitter, Google+ und natürlich gibt's auch eine Facebook Fanpage für den Blog. Sollte euch mein Artikel gefallen haben, würde ich mich freuen wenn ihr bei eurem nächsten Einkauf bei Amazon, diesen Link benutzt. Für euch ändert sich nichts (Kaufpreis bleibt unverändert) und ich erhalte ein kleines Taschengeld.

Kommentare (10)

  1. Schöner Gastbeitrag. Freue mich auf neue Beiträge von dir und wünsche dir viel Erfolg bei deinen Safari-Erweiterungen. 😀

  2. stimmt schon nachdenklich – wollte Safari gerade mal wieder antesten, nutze sonst seit einiger Zeit Chrome auf dem Mac. Vielleicht kannst du ja auch mal einen Blick auf Chrom werfen :-)). Ansonsten Super Artikel. Danke!

  3. Hey,
    danke für den Beitrag. Aber ich benutze keine Extensions. Dennoch gut, dass du das herausgefunden hast und hast du es denn an Apple geschickt?
    @ Volker Schmitt, Na ja mit Chrome verschickst du ja sogar freiwillig deine Daten an Google :p

  4. Pingback: [Sammelthread] *** "der neue" Mac-Quatsch-Thread *** [Part 14] - Seite 41 - Forum de Luxx

  5. Danke für den Hilfreichen Beitrag.
    Ich hate erst heute einen Beitrag über das Installieren von Plugins verfasst und darin das NoMoreiTunes Plugin vorgestellt.
    Das kam zwar nicht von offizieller Seite, doch wurde es von Bits und So empfohlen und es gibt sehr viele Beiträge zu diesem Plugin.

    Wie immer muss man als Nutzer einen zweiten prüfenden Blick auf solche Dinge werfen. Nur das installieren was aus vertraulichen Quellen kommt.

    mfg cb

    • Da die plugins an sich nur ZIP-Dateien sind könnte man selber in de Quellcode schauen. Aber ich glaube da müsse man schon genauer hinsehen um so etwas zu finden. Und vor jedem Installieren ein ganzes Archive durchgucken? ich weiß ja nicht…

  6. Ich kann nur hoffen das es noch mehr von solchen Artikeln geben wird. Hatte zu diesem Thema nähmlich schonmal gegooglet aber nicht Gefunden.

  7. Pingback: Sicherheitsbedenken bei Safaris Extensions | Centurios Blog

  8. Schwachsinn! Prinzipiell hast du ja schon recht – aber nach deiner Logik dürfte ich überhaupt keine Programme mehr installieren. Denn wenn du willst kannst du jedes Programm so umbauen dass es deine Daten scannt.

    So lange der Source Code des Programms veröffentlicht wird und du notfalls auch ein Programm wie Little Snitch installiert hast kann nicht viel passieren. Und wenn der Entwickler einen seriösen Eindruck macht (das sieht man ja schon an der Webseite) dann ist (für mich zumindest) die Welt in Ordnung.

    Viel mehr macht mir Flash sorgen, da sich WEbseiten cookies über Flash auf dem Rechner ablegen lassen und dich genauso gut ausspionieren können…

    • Ich gehe jetzt mal gar nicht auf dein Kommentar ein, da du dich mit dem letzten Satz aus dem Rennen geworfen hast….

      Finde es immer wieder witzig wie Leute meinen es ist cool mit einem falschen eMail Konto einen Kommentsr zu hinterlassen.

Kommentare sind geschlossen.