"Textbombe" chaiOS: Apple stellt Abhilfe in Aussicht
In der kommenden Woche will Apple per System-Update verhindern, dass sich iPhone, iPad und Mac allein durch den Empfang einer Nachricht zum Absturz bringen lassen. Ältere iOS-Versionen dürften verwundbar bleiben.
(Bild: USAF/Delanie Stafford)
Apple hat in der jüngsten Beta von iOS 11.2.5 eine Schwachstelle geschlossen, durch die sich iPhone und iPad allein per Zusenden einer manipulierten Textnachricht zum Absturz bringen lassen, wie Entwickler berichten. Das Problem werde in der kommenden Woche ausgeräumt, bestätigte der Konzern gegenüber US-Medien. Das Update für iOS und vermutlich auch macOS – der Fehler betrifft auch Macs – dürfte Anfang der nächsten Woche zum Download freigegeben werden.
iOS 10 bleibt vermutlich anfällig für Textbombe
In iOS stopft Apple Sicherheitslücken gewöhnlich nur in der jüngsten Version des Betriebssystems, Geräte mit iOS 10 dürften also weiter anfällig bleiben.
Der “chaiOS” genannte Bug nutzt offenbar einen Fehler bei der Verarbeitung von Webseite-Metadaten: Eine manipulierte Webseite kann so die jeweilige iOS-App, die zum Öffnen der URL verwendet wird, zum Einfrieren und Abstürzen bringen – dies wirkt sich unter Umständen auf das gesamte Betriebssystem aus. Die automatische Linkvorschau in Apples Nachrichten-App sorgt etwa dafür, dass der Absturz direkt beim Erhalt einer Textnachricht auftreten kann – ohne dass eine weitere Aktion des Nutzers erforderlich ist. Die Linkvorschau lässt sich nicht abschalten.
Kein zuverlässiger Schutz bekannt
Der ursprünglich auf Github gehostete Code wurde inzwischen zwar entfernt, allerdings ist dieser längst in Umlauf und lässt sich problemlos auf anderen Servern veröffentlichen. Das anfangs als Workaround empfohlene Blockieren von Github in den iOS-Einschränkungen hilft damit nicht länger gegen die “Textbombe”.
Betroffene Nutzer sollten nach einem Neustart die Netzverbindung trennen – etwa durch den Flugzeugmodus – und dann versuchen, die Textnachricht mit dem Link in iMessage respektive der Nachrichten-App aus dem Gesprächsverlauf zu löschen. Dafür muss man die Sprechblase kurz gedrückt halten, im daraufhin auftauchenden Menü “Mehr” antippen und schließlich unten links den Mülltonnen-Button anwählen. Unter Umständen ist es erforderlich, die gesamte Konversation zu entfernen, dies ist über die Hauptansicht der Nachrichten-App möglich. (lbe)
