Die Sicherheitsforscherin Natalie Silvanovich hat zwei Fehler in Apples Messaging-App iMessage veröffentlicht, die dazu führen können, dass iOS-Geräte unbrauchbar werden. Die Schwachstellen treten auch unter macOS auf – dort lösen sie allerdings nur einen Absturz der Anwendung aus.
Die Bugs lassen sich durch eine speziell gestaltete Nachricht auslösen. Sie enthält einen Text-Schlüssel, der kein String ist und eine Ausnahme auslöst. Wird er Silvanovich zufolge für eine andere Methode verwendet, die jedoch ohne dies zu prüfen einen String voraussetzt, tritt eine weitere Ausnahme auf. „Auf einem Mac stürzt der ’soagent‘ ab und startet neu, aber auf einem iPhone ist dieser Code in Springboard“, schreibt die Forscherin in einem Blogeintrag.
Springboard, unter iOS für den Home Screen verantwortlich, stürzt nach Erhalt einer solchen Nachricht ab und startet dann ebenfalls neu, jedoch wiederholt. Als Folge wird die Bedienoberfläche von iOS nicht mehr angezeigt und das Gerät nimmt keine Eingaben mehr an. „Dieser Zustand überdauert einen Hard Reset, was dazu führt, dass das Telefon unbrauchbar wird, sobald man es entsperrt“, ergänzte Silvanovich.
Ihr sind bisher nur drei Wege bekannt, die Schleife zu beenden: das Gerät per „Mein iPhone finden“ löschen, es in den Recovery-Modus versetzen und per iTunes die neueste iOS-Version installieren oder jegliche Verdingung zum Internet kappen und das Geräte über das Menü von iOS auf die Werkseinstellungen zurücksetzen. Egal welche Methode man wählt, zu dem Zeitpunkt ungesicherte Daten gehen verloren.
Silvanovich entdeckte die beiden Anfälligkeiten bereits Anfang April. Apple stellte Mitte Mai mit iOS 12.3 einen Patch zur Verfügung, ohne jedoch die zwei Sicherheitslücken in den Versionshinweisen zu erwähnen. Einem Nachtrag vom 3. Juli zufolge lassen sich die Schwachstellen auch aus der Ferne ausnutzen. Davon betroffen sind iPhone 5S und neuer, iPad Air und neuer und der iPod Touch der sechsten Generation. Nutzer dieser Geräte sollten also schnellstmöglich auf iOS 12.3 umsteigen.
Im vergangenen Jahr hatte Silvanovich eine Sicherheitslücke in den Android- und iOS-Apps von WhatsApp entdeckt. Die mobilen Anwendungen erlaubten es einem Angreifer, per Videoanruf die Kontrolle über WhatsApp zu übernehmen. Der Fehler trat nur in den mobilen Version auf, weil nur sie das Realtime Transport Protocol für Videokonferenzen verwenden. Der Webclient von WhatsApp setzt indes auf WebRTC.
Quelle: Schwerwiegende Sicherheitslücke in iMessage macht iPhones unbrauchbar | ZDNet.de
Update 31.07.2019
Google macht sechs schwerwiegende Sicherheitslücken in iOS öffentlich
Sie stecken in iMessage. Vier Schwachstellen erlauben das Ausführen von Schadcode aus der Ferne. Eine besondere Interkation mit dem Nutzer ist nicht erforderlich – er muss nur eine speziell gestaltete Nachricht öffnen.
Zwei Mitarbeiter von Googles Project Zero, Natalie Silvanovich und Samuel Groß, haben sechs zum Teil sehr schwerwiegende Schwachstellen in Apples Mobilbetriebssystem iOS entdeckt. Zu fünf Anfälligkeiten – Apple patcht sie mit iOS 12.4 – haben die Forscher nun Details und Beispielcode veröffentlicht. Der von Apple am 22. Juli bereitgestellte Fix für den sechsten Fehler ist Silvanovich zufolge unvollständig.
Die Sechs Fehler stecken allesamt in iMessage. Vier davon sind als besonders kritisch einzustufen. Sie erlauben das Ausführen von Schadcode aus der Ferne, und zwar ohne Interaktion mit einem Nutzer. Ein Angreifer muss lediglich eine speziell gestaltete Nachricht an das iPhone eines Opfers schicken. Der Code wird ausgeführt, sobald die Nachricht geöffnet wird. In diese Kategorie fällt auch die nicht vollständig geschlossene Sicherheitslücke, zu der die Forscher derzeit noch jegliche Informationen zurückhalten.
Zu den Schwachstellen CVE-2019-8647, CVE-2019-8660 und CVE-2019-8662 liegen indes nun technische Beschreibungen und auch Proof-of-Concept-Code vor, mit dem sich Exploits entwickeln lassen. Nutzer von iOS-Geräten sollten also unbedingt in den allgemeinen Einstellungen prüfen, ob sie bereits iOS 12.4 installiert haben und andernfalls das Update sehr zeitnah einspielen.
Die anderen beiden Anfälligkeiten – sie haben die Kennungen CVE-2019-8624 und CVE-2019-8646 – lassen sich ebenfalls ohne Interkation ausnutzen. Ihre Folgen sind aber weniger schwerwiegend. Unter Umständen könnten Unbefugte Informationen aus dem Speicher auslesen oder Dateien auf einem entfernten Gerät lesen.
Die Sicherheitslücken wird Silvanovich auch in der kommenden Wochen auf der Sicherheitskonferenz Black Hat in Las Vegas präsentieren. „Es gibt Gerüchte über Remote-Schwachstellen, die keine Benutzerinteraktion erfordern, um das iPhone anzugreifen, aber es gibt nur begrenzte Informationen über die technischen Aspekte dieser Angriffe auf moderne Geräte“, heißt es in der Ankündigung ihres Vortrags. „Diese Präsentation untersucht die interaktionslosen Remote-Angriffen auf iOS. Es wird das Potenzial für Schwachstellen in SMS, MMS, Visual Voicemail, iMessage und Mail diskutiert und erklärt, wie man Tools einrichtet, um diese Komponenten zu testen. Es enthält auch zwei Beispiele für Schwachstellen, die mit diesen Methoden entdeckt wurden.“
Anfälligkeiten, die ohne eine weitere Interaktion mit einem Nutzern eine Remotecodeausführung ermöglichen, werden als eine Art „heiliger Gral“ der Sicherheitslücken angesehen. So erhöhte Zerodium seine Höchstpreise für den Ankauf bestimmter Schwachstellen in iOS Anfang des Jahres auf 2 Millionen Dollar. Vier der von Silvanovich und Groß entdeckten Bugs hätte Zerodium laut seiner Preisliste mit je bis zu einer Million Dollar belohnt.
Quelle: Google macht sechs schwerwiegende Sicherheitslücken in iOS öffentlich