Kritische Lücke im Webbrowser Safari des iPhone
Über die Lücke soll es möglich sein, dem iPhone beim Aufruf einer präparierten Webseite Code unterzuschieben und zu starten.
- Daniel Bachfeld
Die Sicherheitslücken in der Safari-Version für Apples iPhone scheinen langsam zu einem größeren Problem zu werden, finden sich doch immer mehr Szenarien, wie Angreifer diese für sich ausnutzen können. Zudem haben sich weitere Lücken gefunden, die einen Angriff auf den iPhone-Browser erleichtern. Erstmalig berichteten die Spezialisten von Errata Security über eine Safari-Lücke Anfang Juli, mit der ein Angreifer eine "gewisse Kontrolle" über das iPhone erlangen kann – bis hin zur Anwahl kostenpflichtiger Nummern. Kurze Zeit später proklamierte SPI Dynamics Mitte Juli, einen ähnlichen Fehler entdeckt zu haben, mit der das Wählen kostenpflichtiger Nummern ohne Zutun des Anwenders möglich ist. Auch soll damit das Blockieren des Gerätes möglich sein, sodass es keine Nummern mehr wählen kann.
Nun betritt die Gruppe Security Evaluators die Bühne, die ebenfalls einen Fehler in Safari aufgetan haben will, über den man auf einem iPhone Code mit "administrativen Privilegien" starten kann. Der Beschreibung nach handelt es sich um einen anderen Fehler als den von Errata und SPI gefundenen, da diesmal keine Nutzerinteraktion notwendig sein soll. Es soll der Besuch einer präparierten Webseite genügen. Bei dem zuerst veröffentlichten Fehler muss ein Anwender in einer Webseite eine Telefonnummer anklicken. Einzelheiten zu der neuen Lücke will Security Evaluators am 2. August auf der Black-Hat-Konferenz in Las Vegas veröffentlichen.
Um den iPhone-Anwender auf eine präparierte Webseite zu locken, machen sich die Security Evaluators eine unschöne Eigenart des iPhones zunutze: Es merkt sich die SSID eines WLAN-Access-Points und verbindet sich automatisch dorthin, sobald ein AP mit dieser SSID in die Nähe kommt. Indem nun jeder beliebige HTTP-Request mit einer vom Angreifer kontrollierten Seite eines präparierten APs beantwortet wird, kann er das iPhone infizieren. Allerdings scheint dies nur mit unverschlüsselten Verbindungen zu APs zu funktionieren – den sonst notwendigen Schlüssel kann das iPhone ja nicht kennen. Daneben können iPhone-Anwender auch über Links in E-Mails auf manipulierte Seiten geraten.
Der Exploit von Security Evaluators soll den Log der SMS-Nachrichten, das Adressbuch, gewählte Nummern und andere Daten an einen Angreifer verschicken – Flexispy lässt grüßen. Apple soll, wie bei den anderen Fehler auch, informiert sein. Als Workaround schlägt die Gruppe vor, nur vertrauenswürdige Seiten zu besuchen. Allerdings schränken sie den Nutzen dieses Ratschlags in ihrem Fehlerbericht selbst ein: So könne in falsch konfigurierten Foren ebenfalls bösartiger Code lauern, der beim Aufruf das iPhone befällt. Zudem solle man keine Links in Mails anklicken und nur mit WLAN-APs Kontakt aufnehmen, die man kenne. Wie man das gegenteilige Verhalten dem iPhone abgewöhnt, haben sie allerdings nicht geschrieben.
Siehe dazu auch:
- Sicherheits-Check für das iPhone, Meldung auf heise Security
- Exploiting the iPhone, Meldung von Security Evaluators
(dab)
