Auch in iOS 12.4 klafft weiter die iMessage Sicherheitslücke, die das Forscherteam um Google Project Zero aufgedeckt hatte und Apple eigentlich mit dem iOS 12.4 Update beheben wollte. Zwar hat Apple die insgesamt sechs Sicherheitsprobleme in iOS 12.4 laut eigenen Angaben behoben, die Forscher fanden jedoch heraus, dass der Patch leider nicht vollständig die Schwachstelle behebt.
Laut dem Forscher können vier der sechs Sicherheitsprobleme zur Ausführung von bösartigem Code auf einem entfernten iOS-Gerät führen, ohne dass eine Benutzerinteraktion erforderlich ist. Ein Angreifer muss lediglich eine fehlerhafte Nachricht an das Telefon eines Opfers senden, und der bösartige Code wird ausgeführt, sobald der Benutzer das empfangene Element öffnet und anzeigt. Die beiden anderen Sicherheitslücken erlauben das Löschen und Auslesen von Daten ohne Benutzerinteraktion aus der Ferne. Silvanovich will auf der Blackhat Konferenz über die Schwachstellen berichten:
Es gibt Gerüchte über entfernte Schwachstellen, die keine Benutzerinteraktion erfordern, um das iPhone anzugreifen, aber es gibt nur begrenzte Informationen über die technischen Aspekte dieser Angriffe auf moderne Geräte. Diese Präsentation untersucht die entfernte, interaktionslose Angriffsfläche von iOS. Es wird das Potenzial für Schwachstellen in SMS, MMS, Visual Voicemail, iMessage und Mail diskutiert und erklärt, wie man Tools einrichtet, um diese Komponenten zu testen. Es enthält auch zwei Beispiele für Schwachstellen, die mit diesen Methoden entdeckt wurden. Übersetzt mit www.DeepL.com/Translator
Obwohl iOS 12.4 die Schwachstellen nicht vollständig behebt ist ein Upgrade auf iOS 12.4 dennoch anzuraten. Auf jeden Fall muss Apple nun doch nochmals tätig werden – ein iOS 12.4.1 Update sollte in Kürze nachgereicht werden.
Die gemeldeten Schwachstellen würden auf dem Schwarzmarkt bis zu 5 Millionen Dollar einbringen – andere Quellen sprechen sogar von 2 bis 4 Millionen Dollar pro Lücke, da aktuelle Betriebssystemversionen des mobilen iPhone Betriebssystem und somit praktisch jedes eingesetzte iPhone oder iPad aktuell angreifbar ist. Der Wert der iOS Exploits ist zudem so hoch angesetzt, da sie keine Interaktion des Nutzers benötigen um ausgenutzt zu werden.
Daher Hut ab vor Natalie Silvanovich und Samuel Groß, die die Schwachstellen an Apple gemeldet haben und auf das Preisgeld, das der Schwarzmarkt für iOS Exploits bietet, verzichteten.
Was Denkst Du?