iPhone ist anfällig für Hijack-Attacken

iphone-3g-s

Die IT-Security-Forscher Charlie Miller und Colin Mulliner haben ein gefährliches Sicherheitsleck im iPhone entdeckt. Am Donnerstag, während der Cybersecurity-Konferenz Black Hat in Las Vegas, wollen die Experten die Hijack-Attacke vorführen.

Miller und Mulliner senden eine Serie von unsichtbaren SMS-Nachrichten die ein ausführbares Programm in den Speicher des betroffenen Geräts versteckt einschleusen sollen. Mit verherenden Auswirkungen:

Mithilfe dieser Software erhält der Angreifer daraufhin vollständigen Zugriff auf sämtliche Funktionen des Geräts, wie etwa telefonieren, Internet surfen oder fotografieren. Möglich macht dies ein Sicherheitsleck in der SMS-Software des iPhones, so die Forscher.

Der Nutzer selbst bekommt von diesem Angriff wenig mit, er erhält nur eine einzige SMS mit einem viereckigen Zeichen. Miller empfiehlt, das Gerät bei Erhalt einer solchen Nachricht umgehend auszuschalten, da ein Hacker ziemlich schnell Überhand über das Gerät gewinnen könnte.

Miller: „Das Problem ist wirklich ernst. Es bleibt einem wirklich nichts anderes über, als das Gerät abzuschalten“ und weiter „Jemand könnte damit ziemlich schnell die Kontrolle über jedes iPhone auf der Welt übernehmen.“

Gemäss den Aussagen der Sicherheitsexperten wurde Apple schon vor einiger Zeit über das Problem informiert, bisher wurde aber in Cupertino noch kein Ptch für die Hijack-Attacke veröffentlicht. Schade das man Apple mit der Veröffentlichung von Sicherheitsproblemen dazu zwingen muss, Sicherheitslücken zu stopfen!

(via pressetext)

  • Pingback: Renato Mitra()

  • Guru

    Gemäss den Aussagen der Sicherheitsexperten wurde Apple schon vor einiger Zeit über das Problem informiert

    Das Problem ist auch seit einiger Zeit öffentlich bekannt.

  • Pingback: Renato Mitra()

  • Martin Thomas

    Ein weiteres tolles Beispiel dafür wie dumm und naiv Hersteller sowie leider auch eine beträchtliche Zahl an Nutzer von MacOS-basierten Endgeräten mit Sicherheitsproblematiken umzugehen scheinen. Ich wünschte mir von ganzem Herzen es passierte einmal ein Supergau (eg. Übernahme von einer relevant grossen Menge an iPhones eines bestimmten Marktes) um auch dem hintersten Zurückgebliebenen aufzuzeigen, dass IT-Sicherheit ein nicht derart sträflichst-vernachlässigbares Thema sein darf.

  • yimmii

    @ m.thomas ich stimme dir voll und ganz zu!

    es sollte mehr tematisiert werden das heutzutage auch die phones angegriffen werden und das bis jetzt auch ohne grosse schwirigkeit möglich ist!!

  • rk

    Apple lässt sich ja gerne mal länger Zeit beim Stopfen von Sicherheitslücken. Besonders schlimm ist ja, dass zum Teil nicht einmal bereits vorhandene Patches für die Open Source Komponenten von Mac OS X zeitnah implementiert werden. Die werden gerne mal erst mit dem nächsten Release installiert. Apple fordert hier sein Schicksal wirklich schon seit längerem heraus. So sehr ich die Software von Apple auch mag, die Sicherheitspolitik des Unternehmens halte ich für katastrophal. Microsoft und die Windows Benutzer mussten harte Tour lernen, wie es nicht geht.

    Ein weiteres schönes Beispiel ist ja die „Verschlüsselung“ der Daten auf dem 3GS, die man bei der Keynote noch betont hat, die scheint ja völlig nutzlos zu sein.

  • rk

    Eine etwas erfreulichere Nachricht: Die MobileMe iDisk Anwendung ist jetzt verfügbar.
    http://itunes.apple.com/WebObjects/MZStore.woa/wa/viewArtist?id=284417353

  • Martin Thomas

    //off-topic @rk

    Eine etwas erfreulichere Nachricht: Die MobileMe iDisk Anwendung ist jetzt verfügbar.

    Es hat wahrsch. einige Tage gedauert bis die hauseigene Applikation von den Zensoren des unternehmensinternen ‚Ministry of Truth‘ in den AppStore durchgewunken wurde :-S

    Naja, immerhin ist der Spass ‚free‘ (für die ansonsten bereits genügend zur Kasse gebetenen MobileMe-Subscribers) und ‚einem geschenkten Gaul…‘ :-)

    Grüsse,
    MT

  • rk

    @Martin Thomas

    Aber irgendwie glaube ich nicht, dass die Veröffentlichung beabsichtigt war. Das Programm ruft bei mir einfach nicht den „sense of childlike wonder“ hervor. Da hat der Zens.. äh Gutachter wohl nicht aufgepasst.
    Trotzdem werden als nächstes alle Anwendungen, die die Funktion von Apples eigenem Programm kopieren aus dem AppStore entfernt.

  • Guru

    [News] iPhone SMS exploit patch expected this weekend
    http://bit.ly/oQ76b

  • Martin Thomas

    @Guru

    Hab‘ ich auch gelesen. Mein absoluter Lieblingsteil der Meldung war jedoch…

    Considering the potential for mischief on the part of hackers, it is entirely possible that […] carriers will notify their customers of the availability of the update. Whether or not that message will come through SMS remains to be seen.

    Source: http://www.tuaw.com/2009/07/31/o2-sms-security-flaw-on-iphone-to-be-patched-saturday/

    =)

    Gruss,
    MT

  • Guru

    *g*

  • rk

    Diese Woche ist lustig, Steve Gibson – glaube ich – hat „black hat“ mit Halloween verglichen. Ich freue mich jedenfalls auf die Videos der Vorträge

  • rk

    FYI
    Das Update ist da.