IT-Security

iPhone Sicherheitslücke: iMessage kann iOS-Devices lahmlegen

20. August 2019 von PSW GROUP Redaktion

iphone-sicherheitsluecke
© oatawa - Fotolia.com

5
(1)

iPhones oder iPads mit einer iOS-Version vor 12.3 lassen sich mithilfe einer manipulierten Textnachricht via iMessage lahmlegen. Auch Macs sind betroffen, jedoch sind die Auswirkungen hier nicht so schlimm. Selbst ein Neustart bringt bei der iPhone-Sicherheitslücke nichts: Betroffene müssen ihr iOS-Device erst komplett zurücksetzen, um es dann neu aufzusetzen. Anschließend lässt sich ein Backup einspielen. Mit der Version 12.3 hat Apple die Sicherheitslücke bereits im Mai geschlossen. Um sich vor der von Natalie Silvanovich, Sicherheitsforscherin von Googles Project Zero, entdeckten Sicherheitslücke zu schützen, sollte das Update schnellstmöglich einspielen.

IPhone Sicherheitslücke: Eine Textnachricht gefährdet die iPhone-Sicherheit

Silvanovich, die Entdeckerin der iPhone-Sicherheitslücke, beschreibt in ihrem Bericht, wie mögliche Angriffe aussehen könnten. Der für den Homescreen verantwortliche iOS-Prozess Springboard ist von der iPhone-Sicherheitslücke betroffen: Wird die Textnachricht via iMessage empfangen, stürzt Springboard ab und startet erneut. Jedoch nicht erfolgreich – die Prozedur wiederholt sich immer und immer wieder. Das führt dazu, dass die Benutzeroberfläche nicht mehr dargestellt werden kann, das iOS-Gerät reagiert nicht mehr auf Eingaben.

Die auslösende Textnachricht ist entsprechend gestaltet: Ein enthaltener Text-Schlüssel löst eine Ausnahme aus. Silvanovich erläutert in ihrem Bericht, dass eine solche Nachricht für andere Methoden sinnvoll sei. Diese Methode setzt ohne Prüfung einen String voraus und löst somit eine weitere Ausnahme aus. Die manipulierten Textnachrichten jedoch enthalten einen Text-Schlüssel, der kein String ist. Die Forscherin erklärt: „Auf dem Mac stürzt der ‘soagent’ ab und startet neu, aber auf einem iPhone ist dieser Code in Springboard“.

Durch den wiederholten Neustart kann iOS bei mobilen Geräten die Bedienoberfläche nicht mehr anzeigen. Auf Eingaben reagiert das Gerät nicht mehr. „Dieser Zustand überdauert einen Hard Reset, was dazu führt, dass das Telefon unbrauchbar wird, sobald man es entsperrt“, führt Silvanovich in ihrem Bericht aus.

Wohl dem, der seine Backups regelmäßig sichert, denn: Anwender, die regelmäßige Backups verpassen, müssen mit einem Datenverlust rechnen. Betroffene haben nur wenige Handlungsmöglichkeiten:

  • das iOS-Gerät kann über die „Find my iPhone”-Funktion ferngelöscht werden,
  • der Recovery Modus wird auf dem iPhone aktiviert, iTunes muss ebenfalls auf die aktuelle Version gebracht werden,
  • die SIM-Karte wird entfernt und das Gerät aus der WiFi-Reichweite entfernt (bzw. WiFi wird deaktiviert), anschließend wird das Smartphone auf die Werkseinstellungen zurückgesetzt,
  • das Backup kann eingespielt werden.

Immerhin: Daten lassen sich durch den Bug nicht erbeuten.

IPhone-Update schützt vor der iMessage-Lücke

Schon im April dieses Jahres meldete Silvanovich die Sicherheitslücke an Apple. Der Konzern verzichtete seinerzeit jedoch auf das Bekanntgeben der iMessage-Lücke. Man wollte erst eine Lösung finden und den Nutzern ein entsprechendes Update bereitstellen.

Im Mai 2019 erschien dann das Update auf die iOS-Version 12.3. Mit macOS 10.14.5 wurden auch Macs gepatcht, sodass ein Neuaufsetzen des Rechners überflüssig wird. Wenngleich eine offizielle Bestätigung von Apple fehlt, sind Geräte mit älterer Betriebssystem-Version weiterhin angreifbar. Die iOS-Version Ihres iPhones oder iPads überprüfen Sie in wenigen Schritten:

  • „Einstellungen“ öffnen
  • „Allgemein“ antippen
  • „Softwareupdate“ antippen
  • das iPhone/ iPad sucht nun nach verfügbaren Updates
  • mit der Meldung „iOS 12.3.x – Deine Software ist auf dem neuesten Stand“ brauchen Sie nichts weiter zu unternehmen. Wird Ihnen eine ältere Version eingeblendet, spielen Sie bitte das Update ein.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 1



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu