BSI warnt vor Jailbreak-Lücke in iOS 4.3.3

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Sicherheitslücke in iOS 4.3.3 und früher. Sie steckt in der zur Betrachtung von PDF-Dateien verwendeten Bibliothek des Mobilbetriebssystems. Allein das Anklicken eines manipulierten PDF-Dokuments oder der Aufruf einer mit PDF-Dokumenten versehenen Webseite reiche aus, um iPhone, iPod Touch oder iPad ohne Wissen des Nutzers mit Schadsoftware zu infizieren. Auch ein seit Wochenanfang verfügbarer browserbasierter Jailbreak nutzt die Schwachstelle aus, um die werksseitigen Beschränkungen nahezu aller Apple-Geräte – inklusive iPad 2 – aufzuheben, sodass sich nicht vom Hersteller freigegebene Apps installieren lassen.

Apple hat bereits ein Update für iOS angekündigt, das die Lücke schließen soll. „Apple nimmt die Sicherheit sehr ernst“, sagte Firmensprecherin Trudy Muller ZDNet in einem Telefoninterview. „Der Fehler ist uns bekannt und wir entwickeln einen Fix, der Kunden mit einem kommenden Softwareupdate zur Verfügung stehen wird.“ Sie nannte keinen Zeitplan für den Patch. Zudem wies sie darauf hin, dass durch einen Jailbreak die Garantie der Apple-Geräte erlösche.


Apple will die von JailbreakMe 3.0 ausgenutzte PDF-Lücke bald schließen (Screenshot: ZDNet).

Laut Charlie Miller, Principal Research Consultant bei Accuvant und Apple-Sicherheitsexperte, ist der Jailbreak der erste Exploit für iOS, der Apples Implementierung der Sicherheitsfunktion ASLR (Adress Space Layout Randomization) aushebelt. Er rät Besitzern freigeschalteter iOS-Geräte, via Cydia den „PDF Patcher 2“ zu installieren. Bis Apple einen Fix bereitstelle, gebe es für alle anderen iOS-Nutzer nur die Möglichkeit, ebenfalls einen Jailbreak und danach den PDF Patcher 2 anzuwenden, so Miller.

Dem BSI zufolge betrifft die Lücke iPhone 3GS und 4, iPad 1 und 2 sowie iPod Touch mit iOS 4.3.3 oder früher. „Zwar wurden bisher noch keine Angriffe beobachtet, es ist jedoch damit zu rechnen, dass Angreifer die Schwachstellen zeitnah ausnutzen werden“, schreibt das BSI in seiner Sicherheitswarnung. Mögliche Angriffsszenarien für Cyberkriminelle seien unter anderem das Auslesen von vertraulichen Informationen (Passwörtern, Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder Kontaktdaten), der Zugriff auf eingebaute Kameras, das Abhören von Telefongesprächen sowie die GPS-Lokalisierung des Nutzers. Auch Miller zufolge könnte eine Schadsoftware für die Lücke zu einer ernsten Bedrohung werden.

Im vergangenen Jahr hatte eine frühere Version des browserbasierten Jailbreaks „JailbreakMe“ ebenfalls eine Anfälligkeit in iOS ausgenutzt. Damals stellte Apple nach rund einer Woche einen Patch zur Verfügung, der die Lücke schloss.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago