Moderne Prozessoren besitzen eine grundsätzliche Schwachstelle in ihrer Hardware-Architektur, die es Angreiferinnen und Angreifern erlaubt, sensible Daten zu erbeuten. Das zeigte der 2018 veröffentlichte Angriff namens „Spectre“. Zahlreiche Geräte und Betriebssysteme waren betroffen. Hersteller entwickelten daraufhin Gegenmaßnahmen – so auch Apple. Forschende belegten 2023, dass Mac- und iOS-Systeme aber immer noch nicht hinreichend vor dieser Art von Angriff geschützt sind. Ein Team der Ruhr-Universität Bochum, der Georgia Tech und der University of Michigan zeigte, dass man über den Browser Safari die Hardware-Schwachstelle ausnutzen könnte, um Zugriff auf Passwörter, E-Mail-Inhalte oder Standortdaten zu bekommen. Mittlerweile bietet Apple erste Software-Updates für Safari an, die zum Ziel haben, die Schwachstelle zu beheben. Weitere Updates sind in Arbeit. Auf der Webseite ileakage.com beschreiben die Forschenden die Schwachstelle, welche Updates verfügbar sind und wie man sie im jeweiligen Betriebssystem aktivieren kann.
Für die Arbeiten kooperierten Prof. Dr. Yuval Yarom vom Bochumer Exzellenzcluster „Cyber Security in the Age of Large-Scale Adversaries“, kurz CASA, Jason Kim und Associate Professor Daniel Genkin von der Georgia Tech sowie Stephan van Schaik von der University of Michigan. Sie stellen ihre Ergebnisse auf der Conference on Computer and Communications Security, kurz CCS, vor, die vom 26. bis 30. November 2023 in Kopenhagen stattfindet.
Zugriff auf Passwörter und E-Mail-Eingang
Für den neuen Angriff namens „iLeakage“ müssen Angreiferinnen und Angreifer die User zunächst auf eine von ihnen kontrollierte Webseite lotsen. „Nutzerinnen und Nutzer können nicht erkennen, wenn sie auf solch einer Webseite gelandet sind“, erklärt Yuval Yarom von der Fakultät für Informatik der Ruhr-Universität Bochum. „Wie immer gilt also, dass man nur vertrauenswürdige Seiten anklicken sollte“, rät er.
Besucht ein Nutzer die Webseite des Angreifers, kann dieser das Mailprogramm des Nutzers in einem neuen Fenster öffnen und Inhalte aus dem Posteingang auslesen. Oder er kann weitere Webseiten aufrufen, beispielsweise die Login-Seite einer Bank, bei der der Nutzer Kunde ist. „Wir konnten auch zeigen, dass der Angreifer automatisch die Login-Daten aus dem Passwortmanager LastPass einsetzen könnte, wenn die Auto-Fill-Option eingeschaltet ist“, sagt Yuval Yarom. Auf diese Weise ließen sich vermeintlich sicher gespeicherte Passwörter erbeuten.
Sicherheitslücke in der Hardware-Architektur
Die Sicherheitslücke entsteht durch das Funktionsprinzip moderner Prozessoren. Wenn Prozessoren eine Reihe von Befehlen erhalten, führen sie sie nicht einen nach dem anderen aus, sondern parallel. Dabei werden manchmal auch Prozesse gestartet, für die gewisse Bedingungen erfüllt sein müssen – auch wenn noch nicht klar ist, ob das der Fall ist. Diese spekulative Vorgehensweise macht die Systeme schneller. Sie schätzen, welche Bedingung vorliegen wird, und starten den wahrscheinlich erforderlichen Prozess. Wenn sich herausstellt, dass die Bedingung doch nicht erfüllt wird, verwerfen sie den Prozess und starten neu. Die verworfenen Prozesse verändern dabei den Zustand des Systems. Und genau das ist der Schwachpunkt. Aus diesen Veränderungen können Angreiferinnen und Angreifer sensible Speicherinhalte auslesen.
Zum Schutz vor dieser Form von Seitenkanalangriffen haben Anbieter Gegenmaßnahmen in ihre Browser eingebaut. In Safari soll beispielsweise jede geöffnete Webseite in einem eigenen Prozess verarbeitet werden. Die Forschenden zeigten jedoch, dass sie den Schutz umgehen und eine zweite Webseite im selben Prozess öffnen konnten. So könnten Angreifer Informationen abgreifen, die eigentlich unantastbar sein sollten.
Förderung
Die Arbeiten wurden unterstützt von dem Air Force Office of Scientific Research (FA9550-20-1-0425), dem Australian Research Council (DE200101577, DP210102670), der Defense Advanced Research Projects Agency (R00112390029), der Deutschen Forschungsgemeinschaft im Rahmen des Exzellenzclusters CASA (EXC 2092 – 390781972) sowie der National Science Foundation (CNS-1954712).
Originalveröffentlichung
Jason Kim, Stephan van Schaik, Daniel Genkin, Yuval Yarom: iLeakage: Browser-based timerless speculative execution attacks on Apple devices, Conference on Computer and Communications Security (CCS) 2023, Kopenhagen, Dänemark, Paper-Download
Pressekontakt
Prof. Dr. Yuval Yarom
Fakultät für Informatik
Ruhr-Universität Bochum
E-Mail: yuval.yarom(at)ruhr-uni-bochum.de
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.