iPhone und iPad: Kernel-Panik per Web-Link
Aktuell kursiert ein HTML- und CSS-Schnipsel, mit dem sich iOS-Geräte zum Neustart zwingen lassen. Der Fall erinnert an ähnliche Angriffe per iMessage.
iPhone-Neustart.
(Bild: Apple)
Apples iOS-Browser Safari lässt sich ausnutzen, um eine Kernel Panic und einen Neustart bei iPhone, iPad und iPod touch zu provozieren. Aktuell kursiert ein entsprechender Link auf eine Website, die einige Zeilen HTML- und CSS-Code enthält. Ausgenutzt wird ein Fehler im Background-Filter-Effekt, der es erlaubt, den Browser zu überlasten. Ein vom iOS-Gerät errechneter Blur-Effekt wird dabei auf zahllose DIV-Elemente gelegt, was den WebKit-Renderer überlastet. Daraufhin kommt es zu einer Kernel-Panik, die wiederum einen Neustart auslöst.
Link anklicken oder E-Mail aufrufen
Damit der Exploit abläuft, muss ein Nutzer nur auf den entsprechenden Link klicken, der ihn etwa per WhatsApp erreicht. Alternativ scheint es auch möglich zu sein, den Code per E-Mail zu versenden und erst die Mail-Anwendung und dann das komplette Gerät zum Absturz zu bringen, weil im Mail-Client ebenfalls ein WebKit-Renderer steckt. Es scheint hingegen nicht auszureichen, den Link per iMessage zu verschicken – obwohl auch dort eine Vorschau generiert wird.
Nutzer sollten wie üblich vermeiden, ihnen merkwürdig oder unbekannt erscheinende Links anzuklicken. E-Mails mit dem Schadcode sollte man bereits aus der Nachrichten-Vorschau heraus löschen. Der Fehler, den der Sicherheitsforscher @pwnsdx entdeckt hat – er arbeitet laut eigenen Angaben bei Wire in Berlin – könnte schon seit längerem in iOS stecken. Der Background-Filter-Effekt war erstmals in iOS 7 eingeführt worden.
iOS-Update muss wohl her
Apple hat sich zu der Lücke bislang nicht geäußert; sie müsste wohl im Rahmen eines iOS-Updates behoben werden. Berichten zufolge steckt der Fehler auch in iOS 12, das am heutigen Montag offiziell erscheint. Auch scheint es möglich zu sein, den Safari-Browser auf dem Desktop anzugreifen – dabei bleibt das Problem aber nur auf den Browser beschränkt, den man dann abschießen muss.
Die "SafariRipper" genannt Lücke erinnert an andere Fehler im Rendering von iOS. So kam es immer wieder vor, dass bestimmte Unicode-Zeichen im System zu Denial-of-Service-Angriffen genutzt werden konnten – zuletzt wurde eine solche "Textbombe" in iOS 11.2.5 entschärft. In diesen Fällen reichte es aber sogar aus, die Zeichenkombination einfach nur in iMessage zu empfangen.
[Update 18.09.18 10:36 Uhr:] Der Fehler ist erst seit iOS 9 vorhanden, wie der Sicherheitsforscher mittlerweile herausgefunden hat. (bsc)
