Categories: MobileSmartphone

Schwerwiegende Sicherheitslücke in iMessage macht iPhones unbrauchbar

Die Sicherheitsforscherin Natalie Silvanovich hat zwei Fehler in Apples Messaging-App iMessage veröffentlicht, die dazu führen können, dass iOS-Geräte unbrauchbar werden. Die Schwachstellen treten auch unter macOS auf – dort lösen sie allerdings nur einen Absturz der Anwendung aus.

Die Bugs lassen sich durch eine speziell gestaltete Nachricht auslösen. Sie enthält einen Text-Schlüssel, der kein String ist und eine Ausnahme auslöst. Wird er Silvanovich zufolge für eine andere Methode verwendet, die jedoch ohne dies zu prüfen einen String voraussetzt, tritt eine weitere Ausnahme auf. „Auf einem Mac stürzt der ’soagent‘ ab und startet neu, aber auf einem iPhone ist dieser Code in Springboard“, schreibt die Forscherin in einem Blogeintrag.

Springboard, unter iOS für den Home Screen verantwortlich, stürzt nach Erhalt einer solchen Nachricht ab und startet dann ebenfalls neu, jedoch wiederholt. Als Folge wird die Bedienoberfläche von iOS nicht mehr angezeigt und das Gerät nimmt keine Eingaben mehr an. „Dieser Zustand überdauert einen Hard Reset, was dazu führt, dass das Telefon unbrauchbar wird, sobald man es entsperrt“, ergänzte Silvanovich.

Ihr sind bisher nur drei Wege bekannt, die Schleife zu beenden: das Gerät per „Mein iPhone finden“ löschen, es in den Recovery-Modus versetzen und per iTunes die neueste iOS-Version installieren oder jegliche Verbingung zum Internet kappen und das Geräte über das Menü von iOS auf die Werkseinstellungen zurücksetzen. Egal welche Methode man wählt, zu dem Zeitpunkt ungesicherte Daten gehen verloren.

Silvanovich entdeckte die beiden Anfälligkeiten bereits Anfang April. Apple stellte Mitte Mai mit iOS 12.3 einen Patch zur Verfügung, ohne jedoch die zwei Sicherheitslücken in den Versionshinweisen zu erwähnen. Einem Nachtrag vom 3. Juli zufolge lassen sich die Schwachstellen auch aus der Ferne ausnutzen. Davon betroffen sind iPhone 5S und neuer, iPad Air und neuer und der iPod Touch der sechsten Generation. Nutzer dieser Geräte sollten also schnellstmöglich auf iOS 12.3 umsteigen.

Im vergangenen Jahr hatte Silvanovich eine Sicherheitslücke in den Android- und iOS-Apps von WhatsApp entdeckt. Die mobilen Anwendungen erlaubten es einem Angreifer, per Videoanruf die Kontrolle über WhatsApp zu übernehmen. Der Fehler trat nur in den mobilen Version auf, weil nur sie das Realtime Transport Protocol für Videokonferenzen verwenden. Der Webclient von WhatsApp setzt indes auf WebRTC.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

6 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

7 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

7 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

7 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

9 Stunden ago