Google Project Zero: Sechs interaktionslose iMessage-Lücken, eine ohne Patch
Das Sicherheitsprojekt der Suchmaschine hat ein halbes Dutzend Fehler im Apple-Betriebssystem iOS offengelegt, davon diverse kritische.
Die iMessage-App: Links Apple-Nachrichten, rechts SMS.
(Bild: Apple)
Apple musste im Rahmen von iOS 12.4 fünf Sicherheitslücken in seiner Nachrichten-App stopfen. Entdeckt wurden sie von Mitarbeitern von Googles Project Zero, die die Fehler als "interaktionslos" bezeichnnen – Angreifer können sie also mittels Versand einer iMessage ausnutzen, ohne dass ein Nutzer mehr tun müsste, als diese anzeigen zu lassen. Ein weiterer von Project Zero aufgefundener Bug wird noch privat behandelt und soll erst publiziert werden, wenn Apple ihn gefixt hat – der Konzern arbeitet noch daran. iOS 12.4 war am 22. Juli publiziert worden und sollte dringend eingespielt werden.
Auslesen und ausführen
Die iMessage-Bugs unterscheiden sich in ihrer Schwere. So können zwei verwendet werden, um Speicherstellen auszulesen beziehungsweise Dateien vom Gerät zu extrahieren. Andere erlauben die direkte Ausführung bösen Codes – es reicht dazu aus, dass der Nutzer sich eine entsprechende Nachricht ansieht. Ausgenutzt wird unter anderem der Umgang der Nachrichten-App mit fehlerhaft formatiertem Text.
Nähere Informationen zu den Fehlern will die Sicherheitsforscherin Natalie Silvanovich, die die Arbeit zusammen mit ihrem Kollegen Samuel Groß durchführte, im Rahmen eines Talks auf der Black-Hat-Sicherheitskonferenz in Las Vegas mitteilen, der nächste Woche stattfindet. Erste Infos samt (teilweisem) Exploit-Code sind auf Googles Server verzeichnet, es handelt sich um die CVE-IDs 2019-8647, 2019-8660, 2019-8662 sowie 2019-8624 und 2019-8646. Die noch ungepatchte Lücke trägt die CVE-ID 2019-8641.
Bugs sehr teuer
Im Rahmen ihrer Präsentation will Silvanovich zeigen, dass es beim iPhone durchaus ohne Nutzerinteraktion möglich ist, Lücken remote auszunnutzen. Sie sieht potenzielle Angriffsflächen in iMessage, SMS, MMS, Visual Voicemail sowie Mail.
Die entdeckten Bugs gelten in der Malware- und Geheimdienst-Szene als besonders wertvoll, weil sie so einfach und geräuschlos auszunutzen sind. So hätten Groß und Silvanovich sicher mehrere Millionen US-Dollar von Exploit-Händlern beim Verkauf erhalten können, wie ZDNet schätzt. Ob Apple im Rahmen seines Bug-Bounty-Programms zahlt, drang noch nicht durch. Im Rahmen von iOS 12.4 wurde auch ein weiterer Bug in der Nachrichten-App behoben. Dieser erlaubte ein Abschießen der App aus der Ferne (Denial of Service). (bsc)
