Zipperdown: Gängiger Programmierfehler macht angeblich viele iOS-Apps angreifbar

Nach Analyse chinesischer Sicherheitsforscher sind zahlreiche Apps aufgrund eines Programmierfehlers verwundbar: Angreifer seien dadurch in der Lage, App-Daten zu löschen und Schadcode einzuschleusen.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Zipperdown: Gängiger Programmierfehler macht angeblich viele iOS-Apps angreifbar

(Bild: Pangu)

Lesezeit: 2 Min.
Von
  • Leo Becker

Das für iOS-Jailbreaks bekannte Pangu Team warnt vor einer “Zipperdown” genannten Schwachstelle, die angeblich eine große Zahl an iOS-Apps betrifft. Ein “gängiger Programmierfehler” habe schwerwiegende Konsequenzen, erklären die chinesischen Sicherheitsforscher: Dadurch werde es nämlich für einen Angreifer möglich, Daten der Programme zu überschreiben sowie Schadcode einzuschleusen und mit den Rechten der App auszuführen.

Details zu der Schwachstelle wollen die Sicherheitsforscher vorerst nicht veröffentlichen, sondern stattdessen mit betroffenen Entwicklern und App-Anbietern zusammenarbeiten, um die Lücke jeweils auszuräumen.

Ein Angreifer könne die Schwachstelle etwa ausnutzen, um betroffene Apps zu manipulieren, wenn Nutzer diese in einem offenen WLAN verwenden, führt das Pangu Team aus. Der mögliche Schaden dürfte durch die Sandbox des Betriebssystems gewöhnlich aber gering ausfallen – außer ein derartiger Angriff wird mit einer weiteren Schwachstelle zur Rechteausweitung gekoppelt.

Man sei erstaunt gewesen, wie viele Apps diesen typischen Programmierfehler aufweisen und dadurch verwundbar seien, schreiben die Sicherheitsforscher – es handele sich dabei nicht um eine neue Art von Schwachstelle. Neben iOS-Apps seien ebenso viele populäre Android-Apps anfällig, dazu wolle man zu einem späteren Zeitpunkt weitere Details veröffentlichen.

Nach ihrer Analyse könnten rund 10 Prozent der iOS-Apps betroffen sein: Von knapp 170.000 geprüften Apps seien knapp 16.000 angreifbar, so das Pangu Team. Nur eine einzelne, manuelle Prüfung der Apps könne aber eindeutig klären, ob diese tatsächlich dadurch verwundbar ist. Eine Liste der vermutlich betroffenen Programme wurde auf zipperdown.org veröffentlicht.

Unter den Apps mit der Schwachstelle seien auch viele populäre Exemplare mit teils über 100 Millionen Nutzern, heißt es, wie etwa das chinesische soziale Netzwerk Weibo. Aber auch in Europa und USA bekannte Apps könnten betroffen sein, die Pangu-Liste führt unter anderem Facebook Moments auf sowie mehrere Google-Apps. (lbe)