In den letzten Jahren hat sich die Sicherheit mobiler Betriebssysteme zu einem zentralen Thema entwickelt, da unsere Smartphones immer mehr sensible Daten speichern und komplexe Anwendungen ausführen. Insbesondere Apples iOS gilt als eines der sichersten Mobile-Betriebssysteme weltweit, was nicht zuletzt an der Vielzahl an Sicherheitsmechanismen liegt, die tief in das System integriert sind. Eine dieser Schutzmaßnahmen ist die Pointer Authentication Code Technologie, kurz PAC, die seit iOS 12 genutzt wird, um gezielte Angriffe auf Speicheradressen zu erschweren. Dabei sorgt PAC dafür, dass Zeiger – also Adressen im Speicher – mit einem kryptographischen Code versehen werden, um deren Manipulation zu verhindern. Trotz dieser fortschrittlichen Technologie wurde kürzlich eine Sicherheitslücke entdeckt, die durch eine fehlerhafte Berechnung der PAC in der Funktion dlsym() verursacht wird.
Dieser Fehler hat weitreichende Konsequenzen, da dlsym() eine zentrale Rolle beim dynamischen Laden von Symbolen in iOS-Anwendungen einnimmt. Die Funktion dlsym() wird genutzt, um zur Laufzeit innerhalb einer Anwendung nach Symbolen zu suchen, etwa Funktionsadressen oder Variablen. Dabei muss gewährleistet sein, dass solche Adressen korrekt und sicher zurückgegeben werden, da ein Angreifer ansonsten die Kontrolle über Programmflüsse erlangen könnte. PAC stellt sicher, dass zurückgegebene Zeiger signiert sind und nicht manipuliert werden können. Wenn jedoch die Berechnung oder Überprüfung des PAC durch einen Bug fehlerhaft erfolgt, können Angreifer potenziell manipulierte Werte einschleusen, die vom System nicht erkannt werden.
Dieses Problem stellt ein ernstzunehmendes Sicherheitsrisiko dar, da dynamisches Laden und Aufrufen von Funktionen ein zentraler Bestandteil vieler iOS-Anwendungen und Systemprozesse ist. Technisch betrachtet betrifft das Problem vor allem die Art und Weise, wie PAC-Signaturen bei Zeigern generiert und validiert werden, wenn dlsym() verwendet wird. Normalerweise wird der Pointer Authentication Code basierend auf bestimmten Parametern berechnet, die die Integrität und Echtheit eines Zeigers garantieren. Im konkreten Fehlerfall kam es jedoch dazu, dass bestimmte Eingabeparameter oder Kontextinformationen falsch berücksichtigt wurden. Dies führte dazu, dass die erzeugte PAC ungültig oder inkonsistent war, wodurch das System beim späteren Einsatz dieses Zeigers keine Fehlermeldung oder Ausnahme erkannte.
Für Angreifer bedeutet dies, dass sie auf manipulierte Speicheradressen verweisen können, ohne dass die PAC-Abwehrmechanismen diese Manipulation entdecken. Die Entdeckung dieses Bugs wurde durch Sicherheitsforscher ermöglicht, die sowohl die iOS-Infrastruktur als auch die PAC-Technologie im Detail analysierten. Die Forscher stellten fest, dass die durch dlsym() zurückgegebenen Zeiger zwar mit PAC signiert waren, die Berechnung jedoch nicht den vollständigen Kontext berücksichtigte, insbesondere wenn es sich um Symbole handelte, die dynamisch oder indirekt geladen wurden. Dieser Umstand bot eine Angriffsfläche für gezielte Speicher-Manipulationen, was nicht nur theoretisch bleiben muss, sondern aktiv ausgenutzt werden kann, um die Sicherheitsbarrieren von iOS zu umgehen. Die Auswirkungen dieses Fehlers sind nicht zu unterschätzen.
Da dlsym() vielfach in Systemkomponenten und Drittanbieter-Apps als dynamische Schnittstelle genutzt wird, wäre eine Ausnutzung des Bugs in der Lage, kontrollierten Code einzuschleusen oder Systemrechte zu eskalieren. Dies betrifft sowohl private Nutzerdaten als auch die Integrität des gesamten Systems. Apples Sicherheitsinfrastruktur, sonst stark auf moderne Hardware-unterstützte Schutzmechanismen gesetzt, wird durch diesen Softwarefehler unterhöhlt. Anwender könnten dadurch Risiken ausgesetzt werden, die ursprünglich durch PAC ausgeschlossen werden sollten. Als Reaktion auf die Entdeckung dieses Bugs wurde seitens Apple ein Sicherheitspatch bereitgestellt, der die fehlerhafte Berechnung von PAC in dlsym() korrigiert.
Darüber hinaus empfahlen Experten Anwendern und Entwicklerteams, ihre Systeme umgehend zu aktualisieren und Sicherheitsupdates einzuspielen. Für Entwickler ist es wichtig, sich über die Funktionsweise und Risiken von PAC bewusst zu sein und dynamische Symbolladungen im Code kritisch zu überprüfen. Die Integration weiterer Sicherheitsprüfungen und die Nutzung offizieller APIs mit nachweislich fehlerfreien PAC-Implementierungen sind essenziell, um solche Schwachstellen künftig zu vermeiden. Weiterhin zeigt der Fall, wie komplex und empfindlich Sicherheitsmechanismen wie PAC im Zusammenspiel mit verschiedenen Systemkomponenten sind. Selbst eine einzelne fehlerhafte Implementierung kann den Schutz unterminieren und Angriffsvektoren eröffnen.
Die Sicherheitsgemeinschaft und Betriebssystemhersteller stehen daher weiterhin in der Verantwortung, kontinuierlich Tests durchzuführen, Fehler zu beheben und neue Angriffsmethoden zu antizipieren. Für die Zukunft ist zu hoffen, dass PAC und ähnliche Technologien weiter verbessert werden, um tiefere und umfassendere Schutzschichten zu bieten. Insbesondere sollte die dynamische Symbolauflösung in Betriebssystemen sicherer gestaltet werden, um Manipulationsversuche frühzeitig abzufangen. Parallel dazu gewinnen auch Werkzeuge zur statischen und dynamischen Codeanalyse an Bedeutung, die Entwickler bei der Identifikation und Beseitigung von Schwachstellen unterstützen können. Abschließend zeigt die dlsym() PAC Berechnungslücke, dass auch modernste Sicherheitstechnologien nicht unfehlbar sind.
Die enge Verzahnung zwischen Hardware-Sicherheitsfeatures und Softwareimplementierungen erfordert eine konstante Wachsamkeit und Zusammenarbeit zwischen Sicherheitsforschern, Entwicklern und Herstellern. Nur so kann gewährleistet werden, dass mobile Betriebssysteme wie iOS die hohen Anforderungen an Datenschutz und Systemsicherheit nachhaltig erfüllen.
![The Process File System and Process Model in Unix System V by Faulkner, Gomes [pdf]](/images/71C56CB9-AF3A-4E30-9689-5F479FB5AD69)
![Why Coding will make you Poor (AI, Bitcoin, how to [video]](/images/3DEFA878-9564-4374-9292-66F7A912BD92)
