Sie stecken in iMessage. Vier Schwachstellen erlauben das Ausführen von Schadcode aus der Ferne. Eine besondere Interkation mit dem Nutzer ist nicht erforderlich – er muss nur eine speziell gestaltete Nachricht öffnen.
Zwei Mitarbeiter von Googles Project Zero, Natalie Silvanovich und Samuel Groß, haben sechs zum Teil sehr schwerwiegende Schwachstellen in Apples Mobilbetriebssystem iOS entdeckt. Zu fünf Anfälligkeiten – Apple patcht sie mit iOS 12.4 – haben die Forscher nun Details und Beispielcode veröffentlicht. Der von Apple am 22. Juli bereitgestellte Fix für den sechsten Fehler ist Silvanovich zufolge unvollständig.
Die Sechs Fehler stecken allesamt in iMessage. Vier davon sind als besonders kritisch einzustufen. Sie erlauben das Ausführen von Schadcode aus der Ferne, und zwar ohne Interaktion mit einem Nutzer. Ein Angreifer muss lediglich eine speziell gestaltete Nachricht an das iPhone eines Opfers schicken. Der Code wird ausgeführt, sobald die Nachricht geöffnet wird. In diese Kategorie fällt auch die nicht vollständig geschlossene Sicherheitslücke, zu der die Forscher derzeit noch jegliche Informationen zurückhalten.
Zu den Schwachstellen CVE-2019-8647, CVE-2019-8660 und CVE-2019-8662liegen indes nun technische Beschreibungen und auch Proof-of-Concept-Code vor, mit dem sich Exploits entwickeln lassen. Nutzer von iOS-Geräten sollten also unbedingt in den allgemeinen Einstellungen prüfen, ob sie bereits iOS 12.4 installiert haben und andernfalls das Update sehr zeitnah einspielen.
Die anderen beiden Anfälligkeiten – sie haben die Kennungen CVE-2019-8624 und CVE-2019-8646 – lassen sich ebenfalls ohne Interkation ausnutzen. Ihre Folgen sind aber weniger schwerwiegend. Unter Umständen könnten Unbefugte Informationen aus dem Speicher auslesen oder Dateien auf einem entfernten Gerät lesen.
Die Sicherheitslücken wird Silvanovich auch in der kommenden Wochen auf der Sicherheitskonferenz Black Hat in Las Vegas präsentieren. „Es gibt Gerüchte über Remote-Schwachstellen, die keine Benutzerinteraktion erfordern, um das iPhone anzugreifen, aber es gibt nur begrenzte Informationen über die technischen Aspekte dieser Angriffe auf moderne Geräte“, heißt es in der Ankündigung ihres Vortrags. „Diese Präsentation untersucht die interaktionslosen Remote-Angriffen auf iOS. Es wird das Potenzial für Schwachstellen in SMS, MMS, Visual Voicemail, iMessage und Mail diskutiert und erklärt, wie man Tools einrichtet, um diese Komponenten zu testen. Es enthält auch zwei Beispiele für Schwachstellen, die mit diesen Methoden entdeckt wurden.“
Anfälligkeiten, die ohne eine weitere Interaktion mit einem Nutzern eine Remotecodeausführung ermöglichen, werden als eine Art „heiliger Gral“ der Sicherheitslücken angesehen. So erhöhte Zerodium seine Höchstpreise für den Ankauf bestimmter Schwachstellen in iOS Anfang des Jahres auf 2 Millionen Dollar. Vier der von Silvanovich und Groß entdeckten Bugs hätte Zerodium laut seiner Preisliste mit je bis zu einer Million Dollar belohnt.