menu

Google findet sechs "interaktionslose" Sicherheitslücken in iOS

Schon das Öffnen einer Nachricht in iMessage wäre genug gewesen, um Hackern die Pforten zum iPhone zu öffnen.
Schon das Öffnen einer Nachricht in iMessage wäre genug gewesen, um Hackern die Pforten zum iPhone zu öffnen.

Zwei Mitglieder von Project Zero, Googles Elite-Sicherheitsforschern, haben Demo-Code für sechs Exploits in iOS 12 veröffentlicht. Die Bugs hätten es Angreifern ermöglicht, die komplette Kontrolle über iPhones aus der Ferne zu erlangen. Die Sicherheitslücken wurden als besonders gefährlich eingestuft, da Nutzer zur Ausführung des Exploits nur eine Textnachricht in iMessage öffnen mussten.

Details zu den "interaktionslosen Sicherheitslücken" wurden von Google zunächst geheim gehalten, bis Apple die entsprechenden Schwachstellen in iOS 12.4 schließen konnte. Über vier der sechs Bugs ließ sich Schadcode ausführen, ohne dass weitere Interaktionen von Nutzern nötig gewesen wären. Die beiden anderen Bugs erlaubten es Angreifern, Daten aus dem Gerätespeicher auszulesen, berichtet ZDNet.

Bisher waren keine interaktionslosen Exploits in iOS bekannt

Natalie Silvanovich, eine der beiden Sicherheitsforscher, wird nächste Woche auf der Black-Hat-Sicherheitskonferenz in Las Vegas eine Präsentation über die Sicherheitslücken in iOS halten. In ihrem Vortrag wird es darum gehen, welches Potenzial SMS, MMS, Visual Voicemail, iMessage und Mail für Hacks bieten, und sie wird erklären, wie man diese Komponenten auf Sicherheitslücken testen kann.

Silvanovich Entdeckung wird nächste Woche wahrscheinlich für viel Aufsehen sorgen, denn bisher wurden in iOS keine interaktionslosen Sicherheitslücken gefunden. Diese Schwachstellen gelten unter Hackern als der Heilige Gral, da sie unentdeckte Zugriffe auf die Geräte der Opfer ermöglichen.

Gefundene Bugs sind auf dem Exploit-Markt mehrere Millionen Dollar wert

Gerade Sicherheitslücken in iOS stehen bei Hackern besonders hoch im Kurs. Und wenn es sich dann sogar noch um interaktionslose Exploits handelt, kommen stolze Summen zusammen. Preislisten von ZERODIUM, einer Erwerbsplattform für Exploits, zeigen, dass jeder der Bugs mehr als eine Million Dollar wert war. Der Wert aller Exploits wird auf rund zehn Millionen Dollar geschätzt.

Crowdfense, eine weitere Exploit-Plattform, schätzt den Wert sogar noch weit höher ein. Der Wert aller gefunden Bugs könnte demnach zwischen 20 und 24 Millionen Dollar gelegen haben.

Kommentar schreiben
Relevante Themen:

Neueste Artikel zum Thema IT-Sicherheit

close
Bitte Suchbegriff eingeben