Sicherheit - Symbolbild

5. Mai 2020

Roman van Genabith

Weitere seit Jahren bestehende Lücke in iOS / iPadOS lässt unberechtigte Zugriffe auf Dateisystem zu

Eine weitere Sicherheitslücke bedroht alle aktuellen iOS-Versionen bis hin zur aktuellen Version iOS 13.4.1. Sie erlaubt es einer App, aus ihrer Sandbox auszubrechen und auf das Dateisystem von iOS zuzugreifen. Dateien von Nutzern sind so nicht mehr sicher.

Apples iOS-Betriebssystem ist von einer weiteren Sicherheitslücke betroffen, die potenziell schwer wiegt. Wie der sicherheitsforscher Siguza nun öffentlich gemacht hat, betrifft diese Schwachstelle XML-Kommentare. diese können von Apps dazu missbraucht werden, jede Menge Unsinn auf einem iOS-Gerät anzustellen. So können Apps auf diese Weise aus der vorgeschriebenen Sandbox ausbrechen und sich zusätzliche Rechte verschaffen, dies geht bis zur Ausführung von Code mit Kernelrechten.

Erst vor wenigen Tagen berichteten wir über ein weiteres Sicherheitsproblem mit der Sandbox am Mac, wo der Texteditor TextEdit davon betroffen war. Unter iOS können Apps, die die nun veröffentlichte Serie von Schwachstellen ausnutzen, auf das gesamte Dateisystem von iOS zugreifen und zwar lesend und schreibend, wie Siguza weiter ausführt. In der Folge sind auch alle Dateien und Dokumente anderer Apps des Nutzers nicht mehr sicher.

Problem existiert schon seit Jahren

Alle aktuellen iOS-Versionen bis hinzu Version iOS 13.4.1, der aktuellen Version, sind von diesem Problem betroffen. Abhilfe hat Apple erst in der kommenden Version iOS 13.5 geschaffen, diese ist aktuell noch in der Entwicklung und kann von freiwilligen Testern bereits als Public Beta genutzt werden.

Die beschriebene Schwachstelle wird seit wenigstens drei Jahren beobachtet und sie ist nicht die einzige Lücke, die über Jahre offensten. Erst kürzlich sorgte eine weitere Sicherheitslücke in der Mail-App für Aufmerksamkeit, über die wir hier und hier berichtet hatten. Apple bezeichnete sie in einem Statement als weitgehend unerheblich für Nutzer. Sie bestand sogar bereits seit iOS 6 und ihre Veröffentlichung hatte zwischenzeitlich sogar die Aktie unter Druck gebracht. Auch diese Lücke wird mit iOS 13.5 nun endlich behoben.

Weitere Artikel

„The Morning Show“-Produzentin unterschreibt mehrjährigen Vertrag bei Apple TV+

„Mein letzter Tag bei Amazon“: Top-Manager kündigt aus Protest gegen unfaires Verhalten während Corona

10 Gedanken zu „Weitere seit Jahren bestehende Lücke in iOS / iPadOS lässt unberechtigte Zugriffe auf Dateisystem zu“

  1. Es wird immer schlimmer, zwangsläufig muss ich zu meiner Schreibmaschine zurückkehren! Briefe sind sicher, ich habe bis jetzt noch keine Information, dass ein Briefträger die Post geöffnet hat!
  3. Viel Wind wird gemacht – es ist zur Zeit auch nicht wirklich etwas los auf dem Markt – da wird es Zeit, sich auch mal wieder in Erinnerung zu rufen. Es gibt weltweit eine Menge einflußreicher Leute und Personen der Öffentlichkeit, die Geräte von Apple benutzen und noch keiner sprach sich bedenklich über die Nutzung seiner Daten aus oder irgendeine Malware bei sich entdeckt. Womöglich gibt es etwas – aber dieses findet nur der absolute Profi ! In Zeiten von Pandemien ist es doch nicht schlecht, das Mücke/Elefanten Syndrom der Bevölkerung ein wenig zu streicheln :-)
    • Manchmal wird etwas auch erst dann wirklich unangenehm oder gefährlich, wenn es veröffentlicht wird, und damit Aufmerksamkeit bekommt, während es vorher jahrelang unentdeckt einfach nur geschlummert hat. Vermutlich hätte es ohne auch einfach weitergeschlafen, und wäre per Zufall mit einem größeren Update oder Upgrade einfach verschwunden, ohne das je irgendwer was gemerkt hätte, oder was passiert wäre. Nun muss es, weil die Aufmerksamkeit darauf liegt. Eben auch jener, die Interesse daran haben könnten.
      • Ich finde den Zeitpunkt ziemlich merkwürdig😂😂😂genau nachdem Apple und Google gemeinsam Schnittstellen für Corona-Apps einführen wollen (womit ich persönlich kein Problem hab, find ich auch gut solange anonymisiert) gibt es bei iPhone als auch bei Galaxy Lücken die mehrere Jahre bestehen (bei Galaxy sogar 6 Jahre😂)
  4. Google ist aber auch nicht besser. Die haben jetzt erst Lücken geschlossen, die schon seit Androide 8 bestehen.
  5. Es werden wohl Sicherheitslücken gefunden, damit man das nächste iOS mit Corona-Schnittstelle installiert.
    • Schau weniger KenFM. Die Corona-Schnittstelle ist funktionslos solange du keine App installiert hast die sie nutzt. Und du kannst sie obendrein noch ganz deaktivieren in den Datenschutz Einstellungen. Wenn dir das Sorgen macht dann beschwer dich aber auch über die GPS Funktionalität auf Smartphones.

Die Kommentare sind geschlossen.