Exploit veröffentlicht: iMessage-Nachricht kann iPhones lahmlegen
Per Textnachricht lassen sich iPhones und iPads so außer Gefecht setzen, dass nur eine Wiederherstellung hilft. In iOS 12.3 ist der Bug gefixt.
(Bild: dpa, Andrea Warnecke)
- Leo Becker
Der Empfang einer manipulierten iMessage kann iPhones und iPads vorübergehend unbrauchbar machen, wenn auf diesen noch nicht iOS 12.3 installiert ist: Ein Fehler in Apples Nachrichten-App führt dazu, dass der unter anderem für den Homescreen verantwortliche iOS-Prozess Springboard in eine Absturzschleife gerät, wie die für Googles Project Zero tätige Sicherheitsforscherin Natalie Silvanovich erklärt.
Dies habe zur Folge, dass iPhone oder iPad keine Bedienoberfläche mehr anzeigen und auch nicht mehr auf Eingaben reagieren. Ein Neustart könne das Problem nicht beseitigen, betont Silvanovich, man müsse das Gerät löschen (etwa per Fernlöschung) und neu aufsetzen oder über den Wiederherstellungsmodus reaktivieren. Dabei können je nach Zeitpunkt des letzten Backups Daten verlorengehen.
Exploit veröffentlicht
Der Exploit, mit dessen Hilfe sich iPhones und iPads außer Betrieb setzen lassen, steht seit Donnerstag über Googles Bug-Tracker zum Download bereit und lässt sich auf jedem Mac mit Python ausführen. Das Project-Zero-Team macht Bug-Reports stets spätestens nach Ablauf einer Frist von 90 Tagen öffentlich.
Die manipulierte iMessage bringe beim Empfang auf Macs auch einen Prozess (soagent) zum Absturz, der sich aber anschließend neu startet, wie die Sicherheitsforscherin anmerkt, es entstünden keine weiteren Beeinträchtigungen.
Bug in iOS 12.3 behoben
Silvanovich hatte den Fehler im April an Apple gemeldet, er wurde mit iOS 12.3 im Mai behoben. iPhone-Nutzer, die das Update noch nicht eingespielt haben, sollten dies umgehend nachholen, zumal mit iOS-Version 12.3 auch weitere kritische Schwachstellen behoben werden. Ältere iPhones und iPads, die iOS 12 nicht unterstützen, bleiben offenbar verwundbar.
Die Schwere des iMessage-Fehlers wird nur als "moderat" eingestuft, das Einschleusen von Schadcode scheint nicht möglich. Für betroffene Nutzer ist der Aufwand zur Wiederherstellung allerdings erheblich.
Das von Silvanovich gefundene Problem "mit der Eingabeüberprüfung" in Nachrichten wurde "durch eine verbesserte Eingabeüberprüfung behoben", teilte Apple in einer frisch aktualisierten Fassung der Sicherheitsinformationen zu iOS 12.3 mit. Auf dem Mac ist der Fehler mit macOS 10.14.5 Mojave ausgeräumt, wie Apple aufführt. (lbe)
