Das betreffende Leck in der mobilen Version des Safari-Browser ist über ein so genanntes Jailbreak, mit dem sich die strenge Herstellerlimitierung auf iPhone und iPad aufheben lässt, zugänglich. Anders als bei den bisherigen Jailbreaks muss für diese neue Entsperrung das Mobilgerät nicht mit einem Rechner verbunden werden, sondern ist über den Safari-Browser ausführbar.
Damit macht aber Safari nicht nur den Weg für Anwendungen frei, die nicht aus dem Apple-Store stammen, sondern es erlaubt Hackern auch, eigene ‘Anwendungen’ auf die Geräte von ahnungslosen Nutzern zu laden. Praktisch jeder kann, vorausgesetzt das Opfer befindet sich auf einer mit einem speziellen PDF-Link manipulierten Webseite, die Kontrolle über das Gerät übernehmen. Es ist zudem keine Interaktion seitens des Opfers nötig.
Mit der Ausnahme von iOS 4.1, das derzeit in der Beta-Version getestet wird, sind offenbar sämtliche Versionen des mobilen Apple-Betriebssystems betroffen. Von Apple heißt es, man kenne die Berichte und prüfe derzeit das angebliche Leck.
“Es ist wirklich sehr ernst”, erklärt Charlie Miller, Analyst bei Independent Security Evaluators, die als erstes mit einem Remote-Exploit für das iPhone an die Öffentlichkeit gingen. Im Grunde bestehe das Leck aus zwei Fehlern, wie er gegenüber dem Branchendienst CNET erklärte. Der erste liege in der Weise, wie der Browser PDF-Dateien verarbeitet.
Damit gelange der Code in eine Sandbox. Der zweite Fehler erlaubt es diesem Code außerdem, aus dem geschützten Bereich auszubrechen und Root-Rechte zu erlangen. Damit sei das Gerät uneingeschränkt für Fremdzugriffe offen.
Derzeit ist nicht öffentlich bekannt, wer oder welche Organisation den neuen Jailbreake für das iPhone geschrieben hat. Doch zeige dieser – derzeit noch nicht für bösartige Zwecke ausgenutzte Exploit – dass es neben ernsthaften Experten auch immer Menschen gibt, die weniger hehre Ziele verfolgen. Und diese könnten den Exploit untersuchen, ihn nachbauen und dann ihre Schadsoftware darauf aufbauen.
“Das sollte als Weckruf für jeden Besitzer eines mobilen Gerätes gelten: Remote-Exploitation ist Realität und wird uns auch weiterhin begleiten”, so der McAfee-Sicherheitsforscher David Marcus in einem Blog. Aktuell würden diese Verwundbarkeiten nur auf Jailbreake-iPhones laufen. Doch könnten damit weit mehr Dinge mit den iPhones und deren Besitzern angestellt werden.
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
View Comments
Das stimmt leider in einem entscheidenden Punkt nicht...
Es sind nämlich keinesfalls nur iPhones mit Jailbreak betroffen!!!
Die aktuelle Jailbreak-Methode nutzt lediglich diese Lücke. Es sind somit ALLE i-Irgendwas mit den genannten Software-Versionen betroffen.
So gesheen haben die Jailbreak-Usern den anderen was voraus: Sie haben diese (extreme) Schwachstelle "am eigenen Leib erfahren". Wenngleich es hier nicht um Schädigung, sondern um Freiheit ging ;-)