iLeakage × Safari: Spectre nun auch bei Apple-CPUs ein Thema
Die ersten Schlagzeilen zur CPU-Schwachstelle Spectre sind einige Jahre her. Ein neuer Seitenkanalangriff namens iLeakage zeigt jedoch, dass Probleme mit der spekulativen Ausführung auch heute noch ein Thema sind. Gefährdet sind dieses Mal CPUs der A- und M-Serie von Apple Silicon – und damit unzählige Macs, iPhones und iPads.
iLeakage ermöglicht Datendiebstahl via Safari-Browser
Entdeckt wurde iLeakage von einem vierköpfigen Forscherteam, wobei einer der Forscher von der Ruhr-Universität Bochum kommt – die übrigen aus Georgia und Michigan (USA). Durch den auf der iLeakage-Webseite präsentierten Seitenkanalangriff soll es Angreifern möglich sein, über den auf Apple-Geräten vorinstallierten Webbrowser Safari sensible Nutzerdaten abzugreifen. Möglich sei dies durch eine Spectre-basierte CPU-Schwachstelle in Apple-Silicon-Chips der A- und M-Serie, wodurch zahlreiche mit macOS oder iOS ausgestattete Endgeräte des iPhone-Herstellers betroffen sind.
In insgesamt drei YouTube-Videos demonstrieren die Forscher, was mit iLeakage möglich ist und wie „ein Angreifer Safari dazu bringen kann, eine beliebige Webseite zu rendern und anschließend mithilfe von spekulativer Ausführung vertrauliche Informationen darin zu finden“. Im ersten Video lesen sie dabei unter macOS via Lastpass auf der Instagram-Webseite eingetragene Anmeldeinformationen aus. Der zweite Clip veranschaulicht, wie sich Betreffzeilen von E-Mails aus dem Gmail-Konto einer Zielperson exfiltrieren lassen. Im letzten Video demonstrieren die Forscher schließlich das Auslesen von Videotiteln aus dem Wiedergabeverlauf eines Nutzers auf YouTube.
Das Risiko ist wohl überschaubar
Grund zur Sorge scheint iLeakage dennoch nicht zu sein. Die Forscher behaupten, die Durchführung des Seitenkanalangriffs sei technisch sehr anspruchsvoll und setze „fortgeschrittene Kenntnisse über browserbasierte Seitenkanalangriffe und die Implementierung von Safari“ voraus. In einem Bericht von Ars Technica heißt es sogar, ein Angreifer brauche „jahrelange Erfahrung mit der Ausnutzung von Schwachstellen im Zusammenhang mit der spekulativen Ausführung“ und benötige ausgeprägte Hardware-Kenntnisse in Bezug auf die anfälligen Apple-CPUs.
Erschwerend komme hinzu, dass der Angriff Zeit koste: Das Opfer eines solchen Angriffs müsse zunächst eine spezielle Webseite des Angreifers besuchen. Diese müsse anschließend geöffnet bleiben, während die Seite in den ersten fünf Minuten ein Profil des jeweiligen Zielsystems erstelle. Danach benötige der Datenabgriff weitere 30 Sekunden je 512 Bit an auszulesenden Daten. Die Wahrscheinlichkeit einer umfassenden Ausnutzung für reale Angriffe sei angesichts der Komplexität von iLeakage äußerst gering. Hinweise auf eine aktive Ausnutzung gebe es bisher ebenfalls nicht.
Der Patch ist offenbar noch nicht ganz fertig – nach über einem Jahr
Apple wurde wohl erstmals am 12. September 2022 über iLeakage informiert. Einen Patch für Safari soll es bereits geben, wie die Forscher in den FAQ auf ihrer Webseite erklären. Dieser sei allerdings standardmäßig inaktiv und von Apple bisher als instabil eingestuft. Manuell aktivieren lasse er sich durchaus, wenngleich dies bisher nur unter macOS möglich sei. Dass Apple den Patch noch nicht aktiviert hat, hat aber sicherlich seinen Grund. Ein manueller Eingriff sollte folglich gut überlegt sein – eine Anleitung dafür ist aber auf Wunsch auf der iLeakage-Webseite zu finden.
Im Grunde lässt sich das Problem aber gerade unter macOS auch noch anderweitig entschärfen: Der Wechsel auf einen alternativen Webbrowser ist hier ausreichend. Ganz anders sieht es jedoch unter iOS aus. Wie die Forscher in einem ausführlichen Paper (PDF) erklären, seien so ziemlich alle modernen iPhones und iPads anfällig für iLeakage, weil Apple unter iOS bisher keine anderen Browser-Engines als Webkit zulasse. Ein Browserwechsel hilft hier also nicht, sondern nur das Warten auf ein Update von Apple.