iOS 10.3 räumt 70 Sicherheitslücken aus – darunter gravierende
Mit dem jüngsten Update geht Apple zahlreiche Schwachstellen an, die unter anderem das Einschleusen von Schadcode auf iPhone und iPad erlauben. Auch Erpressung durch ein vermeintliches Sperren des Browsers soll nun nicht länger möglich sein.
iOS 10.3 macht iPhone, iPad und iPod touch erheblich sicherer: Die neue Version des Betriebssystems räumt insgesamt 70 Sicherheitslücken aus, die Apple in einem bislang nur in Englisch vorliegenden Support-Dokument aufführt. Darunter finden sich etliche kritische Schwachstellen, die einem Angreifer das Ausführen von Schadcode ermöglichen – etwa wenn ein Nutzer eine manipulierte Audio-Datei abspielt, eine Foto öffnet oder eine Webseite aufruft.
iOS 10.3 soll DoS-Angriffe auf Notrufzentralen verhindern
Zehn Bugs im iOS-Kernel versetzen Apps dazu in die Lage, beliebigen Code mit Root- oder Kernel-Rechten auszuführen, wie der Hersteller weiter ausführt. iOS 10.3 soll außerdem das Auslösen von Anrufen rein durch Antippen eines Links erschweren, der Fehler hatte einen DoS-Angriff auf US-Notrufzentralen erlaubt: Im vergangenen Oktober veröffentlichte ein damals 18-jähriger US-Amerikaner einen Link auf Twitter, der nach dem Antippen auf dem iPhone automatisch die US-Notrufnummer 911 wählte. Die Aktion führte offenbar zu einer Störung des 911-Notfallsystems in mehreren US-Städten – angeblich wurden über 100.000 Notrufe in kurzer Zeit ausgelöst.
iOS 10.3 soll es einem Angreifer mit physischen Zugriff außerdem unmöglich machen, ohne Kenntnis des Zugangs-Codes den Inhalt der Zwischenablage auszulesen. In Safari hat der iPhone-Konzern mehrere Schwachstellen beseitigt, darunter eine, die einem lokalen Nutzer das Einsehen des Browser-Verlaufs einer privaten Sitzung ermöglichte.
Erpressungsversuch mit vermeintlich gesperrtem Browser
Die neue Safari-Version soll auch eine spezielle Betrugsmasche unterbinden: Betrüger setzten eine Schwachstelle bei der Handhabung von Pop-ups dafür ein, den Nutzer aus Safari gewissermaßen auszusperren und für die Freischaltung des Browsers Geld zu fordern, wie die Sicherheitsfirma Lookout erklärt.
Der Browser zeigte dann nur noch einen Warndialog mit dem Hinweis “Seite kann nicht geöffnet werden” an – im Hintergrund wurde die Zahlungsaufforderung eingeblendet. Die Methode wurde offenbar weithin eingesetzt, meist auf pornografischen Webseiten – auch die Polizei Niedersachsen warnte vor der Masche.
iOS 10.3 setzt mindestens ein iPhone 5 voraus, auf dem iPhone 4s läuft iOS 10 nicht mehr. Nutzer von iPhone 5c, iPhone 5 und iPad 4 müssen iOS 10.3 derzeit unter Umständen über iTunes einspielen – es erscheint nicht immer in der integrierten Software-Aktualisierung. (lbe)