iOS 10 schließt Sicherheitslücken in Tastatur und Sandbox

Das Update auf iOS 10 räumt sieben Schwachpunkte aus, darunter eine mögliche Preisgabe "sensibler Informationen" durch die Autokorrektur des Keyboards. watchOS 3 stopft eine Lücke.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Apple

(Bild: dpa, Maja Hitij)

Lesezeit: 2 Min.
Von
  • Leo Becker
Inhaltsverzeichnis

Apple hat Details zu den mit iOS 10 und watchOS 3 beseitigten Sicherheitslücken veröffentlicht. Demnach soll iOS 10.0 unter anderem ein Problem in der Autokorrektur der Tastatur beheben: Diese habe möglicherweise “sensible Informationen” vorgeschlagen, die unabsichtlich in einem Cache hinterlegt wurden, führt der Hersteller auf – dies soll nicht länger passieren.

iOS 10 geht außerdem Schwachpunkte bei der Sandbox an, die es einer manipulierten App ermöglichen, sensible Ortsinformationen auszulesen sowie den Empfänger von Textnachrichten zu ermitteln, wie Apple erklärt. Forscher mehrerer Universitäten hatten Apple nach einer Analyse der Sandbox-Profile von iOS auf die Lücken hingewiesen. Apps waren demnach etwa in der Lage, den Verlauf der Ortssuche auszulesen. Diese Schwachstelle in den GeoServices beseitigt auch watchOS 3.

"Bedenkliche" Schwachpunkte machen es nach Angaben der Wissenschaftler möglich, die iOS-Datenschutzeinstellungen für Kontakte zu umgehen, auf den Nutzernamen sowie die Musikbibliothek zuzugreifen, Informationen ohne Berechtigung untereinander auszutauschen und sensible Informationen wie Foto-Metadaten aus Systemdateien zu erfassen.

Die Sicherheitslücken in der Sandbox ermöglichen angeblich auch das "Sperren des Zugangs zu Systemressourcen", Nutzer könnten dann zum Beispiel nicht mehr auf ihr Adressbuch zugreifen. Böswillige Apps seien außerdem in der Lage, Speicherplatz zu "sperren", nach dem Entfernen der App bleibe diese weiter belegt, erläutern die Forscher. Ob Apple diese Problemstellen ebenfalls beseitigt hat, bleibt unklar – in den Sicherheitsinformationen zum Update tauchen sie nicht auf.

iOS 10 soll auch Fehler bei Mail und System-Updates beseitigen, die einem Angreifer im gleichen Netzwerk unter Umständen ermöglichte, Mail-Zugangsdaten auszulesen – oder zu verhindern, dass ein Gerät Updates erhält. Zum Bezug von Software-Updates komme nun HTTPS zum Einsatz, schreibt Apple, die Verbindung sei vorher nicht richtig gesichert gewesen.

iOS 10.0 ist nicht die aktuellste Version von iOS 10: Apple hat am Dienstag zur offiziellen Verfügbarkeit gleich iOS 10.0.1 verteilt. Dieses Update schließt zusätzlich noch eine der drei Lücken, die die Spyware "Pegasus" ausnutzt, wie Apple am Mittwochabend erklärte. Die anderen beiden Bugs wurden in iOS 10 offenbar bereits in der Betaphase beseitigt. iOS 10.0.1 enthält alle in iOS 10 ausgelieferten Fehlerbehebungen.

[Update 15.09.16 09:47 Uhr] Präzisiert, was in iOS 10.0.1 steckt und was in iOS 10.0. (lbe)