JailbreakMe 2.0: Sicherheitslücke trifft alle iPhones Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


04.08.2010 Alex Wolschann/idg

JailbreakMe 2.0: Sicherheitslücke trifft alle iPhones

Aus Sicht eines Sicherheitsexperten demonstriert die seit kurzem kursierende Browser-basierende Jailbreak-Möglichkeit, dass iPhone, iPad und iPod Touch eine extrem gefährliche Sicherheitslücke aufweisen.

Mit "Jailbreak" wird der Vorgang bezeichnet, bei dem das iPhone derart verändert wird, dass auch nicht von Apple autorisierte Apps auf dem iPhone laufen. Bisher musste jedoch ein gewisser Aufwand betrieben werden, um die iPhones derart zu manipulieren. Seit Montag reicht der Aufruf der Website Jailbreakme.com. Wird die Website auf dem iPhone aufgerufen, dann wird eine Schwäche in Safari dazu ausgenutzt, um den iPhone-Jailbreak durchzuführen. Die Schwäche in iOS 4.0.1 wurde von einem Hacker entdeckt, der sich "comex" nennt.

Der Sicherheitsexperte Charlie Miller hat sich einen Namen beim Knacken von Macs und iPhones gemacht. So entdeckte Miller 2007 eine der ersten Sicherheitslücken im iPhone. Die von "comex" gefundene Schwäche hat Miller per Twitter als "schön" und "beängstigend" bezeichnet. "Es ist eine wunderschöne Arbeit und ich hätte mit dir 5 Lücken gegen diese Lücke getauscht", schrieb Miller an "comex".

Miller hat das Verfahren analysiert, das bei Jailbreakme.com zum Einsatz kommt. Dabei wird eine Lücke ausgenutzt, die dem Anwender die volle Kontrolle über sein iPhone, iPad oder iPod Touch gibt. Normalerweise laufen Applikationen innerhalb einer abgesicherten Sandbox. Das gilt auch für die mobile Version von Safari. Aber auch dieser Schutzmechanismus wird durchbrochen.

"Ich finde es beängstigend, wie diese Methode Apples Sicherheitsarchitektur vollkommen außer Gefecht setzt", sagte Miller in einem Interview. Apple müsse diese Sicherheitslücke so schnell wie möglich per Patch stopfen, denn sie könne nicht nur für einen Jailbreak ausgenutzt werden. Vielmehr könnte auch ein böswilliger Angreifer die Lücke dafür nutzen, um den Anwender Malware unterzujubeln. Dazu müsste der Angreifer die iPhone-Besitzer nur dazu bringen, auf ihrem iPhone eine speziell präparierte Website aufzurufen.

Symantec, F-Secure und andere Sicherheitsexperten haben die Sicherheitslücke bereits genauer unter die Lupe genommen. Es soll sich um einen mehrstufigen Hack handeln. In der ersten Stufe wird eine Schriftzeichen-Parsing-Lücke im mobilen Safari ausgenutzt. In der zweiten Stufe verschafft sich der Hack einen Zugriff auf das iPhone mit allen Privilegien.

Adobe behauptet, dass die aktuelle Version 9.3.3 vom Adobe Reader nicht von der Lücke betroffen ist. Dem widerspricht aber F-Secure in einem Blog-Eintrag. Tests hätten ergeben, dass speziell präparierte PDFs, die die Lücke ausnutzen, den Adobe Reader zum Absturz bringen.

Alle Sicherheitsexperten sind sich einig, dass Apple nun handeln und die Lücke so schnell wie möglich schließen muss. Es dürfte nicht lange dauern, bis Angreifer die Lücke ausnutzen. Das Surfen mit dem mobilen Safari ist bis zur Veröffentlichung eines Patches extrem gefährlich. Apple will sich bis zur Veröffentlichung eines Patches nicht über die Sicherheitslücke äußern. Unklar bleibt auch, wie lange es noch dauern wird, ehe das Update erscheint.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • catWorkX GmbH

    catWorkX GmbH mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr

Hosted by:    Security Monitoring by: