Jailbreak zeigt neue Schwachstelle in Apple iOS auf

iPhone, iPad und iPod touch durch Sicherheitslücke anfällig für Malware

08.07.2011 | Redakteur: Peter Schmitz

Durch den neuen Jailbreak für iOS 4.3.3 kann eine Schwachstelle in der PDF-Bibliothek von iOS jetzt auch zum Einschleusen von Malware verwendet werden.
Durch den neuen Jailbreak für iOS 4.3.3 kann eine Schwachstelle in der PDF-Bibliothek von iOS jetzt auch zum Einschleusen von Malware verwendet werden.

Das in iPhone, iPad und iPod touch eingesetzte Betriebssystem Apple iOS enthält kritische Sicherheitslücken, die das Ausführen von Schadcode, aber auch den aktuellsten Jailbreak ermöglichen. Wie das BSI meldet sind in der zur Betrachtung von PDF-Dateien verwendeten iOS-Bibliothek für Safari Schwachstellen versteckt, durch die schon das Öffnen einer manipulierten PDF-Datei ausreicht um das mobile Gerät mit Schadsoftware zu infizieren.

Die neu durch das neueste JailbreakMe 3.0 Tool für iOS 4.3.3 entdeckte Schwachstelle in der PDF-Bibliothek des mobilen Safari ermöglichen es potenziellen Angreifern, Zugriff mit Administratorrechten auf das komplette System zu erlangen. Bislang steht noch kein offizieller Patch für diese Sicherheitslücken zur Verfügung. Von den Schwachstellen betroffen, sind Apple iOS für iPhone 3GS, iPhone 4, iPad, iPad 2 und iPod touch von Version 4.2.1 bis einschließlich Version 4.3.3.

Verlust vertraulicher Informationen möglich

Die Schwachstellen sind öffentlich bekannt und Exploit-Code zu deren Ausnutzung ist in Form des neuen JailbreakMe 3.0 Tools bereits verfügbar. Zwar wurden noch keine Angriffe beobachtet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechnet jedoch damit, dass Angreifer die Schwachstellen zeitnah ausnutzen werden.

Mögliche Angriffsszenarien für Cyber-Kriminelle sind nach Ansicht des BSI unter anderem das Auslesen von vertraulichen Informationen (Passwörtern, Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder Kontaktdaten), der Zugriff auf eingebaute Kameras, das Abhören von Telefongesprächen sowie die GPS-Lokalisierung des Nutzers.

Aufgrund der Popularität der iOS-Geräte werden diese häufig auch im beruflichen Umfeld genutzt. Nach Kenntnis des BSI werden insbesondere iPhone und iPad auch im höheren Management eingesetzt. Daher ist es möglich, dass die Schwachstellen auch für gezielte Angriffe auf Führungskräfte ausgenutzt werden, beispielsweise um an vertrauliche Unternehmensinformationen zu gelangen.

BSI gibt Empfehlungen zum Schutz der persönlichen Daten

Bis zur Veröffentlichung eines Software-Updates des Herstellers empfiehlt das BSI, PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf iOS-Geräten zu öffnen. Dies gilt sowohl für PDFs, die im Rahmen von Webseiten bereitgestellt werden, als auch für PDFs in E-Mails oder anderen Applikationen.

Die Nutzung des Browsers auf dem mobilen Endgerät sollte auf vertrauenswürdige Webseiten beschränkt werden. Hyperlinks in E-Mails oder auf Webseiten sollten nur geöffnet werden, wenn diese aus vertrauenswürdigen Quellen stammen. Bei der Nutzung von Suchmaschinen sollte man bei den Ergebnissen in der Trefferliste darauf achten, nicht ein PDF-Dokument anzuklicken.

Jailbreaker im Vorteil: inoffizieller Patch schließt die Sicherheitslücke

Einen offiziellen Patch für die Schwachstellen gibt es derzeit noch nicht. Ähnliche Schwachstellen sind bereits im August 2010 bekannt geworden und wurden von Apple innerhalb kurzer Zeit geschlossen. Man kann also auch diesmal davon auszugehen, dass Apple zeitnah ein Sicherheits-Update veröffentlichen wird, das die Schwachstellen schließt.

Anwender die ihr iOS-Device mittels der Schwachstelle „gejailbreaked“ haben sind da aktuell sogar im Vorteil, denn der Autor des Jailbreaks hat parallel dazu einen Patch für die Schwachstelle entwickelt. Den Patch können Anwender nach dem Jailbreak direkt vom App-Market Cydia herunterladen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052252 / Betriebssystem)