« Apple schließt iDisk-Schwachstelle | Start | 2009er MacBook Pro: Laufwerks-Reset beseitigt seltsame Geräusche »

2.07.2009

iPhone OS 3.0: Gravierende Sicherheitslücke in SMS-Applikation [Update]

Apple arbeitet derzeit angeblich daran, eine schwere Sicherheitslücke in der Nachrichten-Applikation des iPhone OS zu beseitigen und plant, noch im Juli ein entsprechendes Update zu veröffentlichen. Dies gab der Sicherheitsspezialist Charlie Miller, der sich wegen einer Vereinbarung mit Apple nur grob zu den Details äußern wollte, im Rahmen einer Konferenz bekannt. Per SMS lässt sich Binärcode an ein iPhone schicken, welches diesen Code offenbar ohne Nutzerinteraktion ausführt. Durch eine weitere Lücke in der SMS-Anwendung ist es einem Angreifer zugleich möglich, sich root-Rechte zu verschaffen und damit beliebigen Schadcode zum Einsatz zu bringen, der beispielsweise den Aufenthaltsort des iPhones auslesen, das Mikrofon zum Mithören aktivieren oder das iPhone zum Teil eines Botnetzes werden lassen könnte, so Miller. Der Sicherheitsexperte war bereits in der Vergangenheit über schwerwiegende iPhone-Lücken gestolpert und knackte sowohl 2009 wie 2008 verschiedenen Versionen von Mac OS X 10.5 jeweils über Schwachstellen in Safari.

Unabhängig von dieser Sicherheitslücke warnte Miller auf der Konferenz zudem davor, dass ein Jailbreak "80 Prozent" der Sicherheitstechniken des iPhone OS aushebelt und jailbroken iPhones damit deutlich angriffsanfälliger sind: «If you care about security, don't use a jailbroken iPhone».

Update 3.07.2009 10:30 Uhr: Der ursprüngliche Artikel über die Sicherheitslücke gab Details offenbar grob verzerrt wieder. Charlie Miller erklärte gegenüber The Register, dass er derzeit die Schwachstelle (noch) nicht zum Ausführen von Schadcode nutzen könne: «I can definitely make the thing crash. I have still to determine whether it's actually exploitable or not. This thing has the potential to be really serious, but I'm still looking at it and Apple is still looking at it.»

Posted by Leo at 17:37 | Permalink

TrackBack

TrackBack-Adresse für diesen Eintrag:
https://www.typepad.com/services/trackback/6a00d83451c7b569e2011571a258da970b

Listed below are links to weblogs that reference iPhone OS 3.0: Gravierende Sicherheitslücke in SMS-Applikation [Update]: