iOS 12.4 per iMessage angreifbar: Google entdeckt verbliebene Sicherheitslücke

iOS 12.4 weist eine Sicherheitslücke auf, über die Angreifer Daten von iPhone und iPad stehlen können. Um sie auszunutzen, muss er den betroffenen Nutzer nur dazu bringen, eine iMessage zu öffnen. Apples Versuch, die Schwachstelle mit iOS 12.4 zu schließen, war nicht gänzlich erfolgreich.

Sicherheitsforscher von Google haben insgesamt sechs Sicherheitslücken in iOS entdeckt. Alle diese Schwächen erlauben es, bösartigen Code in das System einzuschleusen und auszuführen. Bei allen Lücken handelt es sich zudem um sogenannte Zero-Interaction-Lücken, das bedeutet, der Nutzer muss nichts tun, um deren Ausnutzung zu erleichtern – oder doch zumindest fast nichts. Tatsächlich genügt es, eine entsprechend präparierte iMessage zu empfangen und diese zu öffnen.

Fünf von sechs Lücken von Apple geschlossen

Vier der sechs entdeckten Schwachstellen erlauben die Ausführung von bösartigem Code, während zwei weitere Lücken es erlauben, Daten von einem iPhone zu entwenden. Wie Sicherheitsforscherin Natalie Silvanovich vom Project Zero bei Google in Medienberichten ausführt, hat Apple bereits versucht, alle sechs Lücken mit dem Update auf iOS 12.4 zu schließen. Bei fünf von sechs Löchern war dies auch erfolgreich, doch eine Schwachstelle verliebt weiterhin. Aus diesem Grund hat Google auch nur Demo-Code für die bereits verhinderten Angriffe für Forscher veröffentlicht. Das Project Zero sucht nach Sicherheitslücken in allen größeren Betriebssystemen und Anwendungsprogrammen und gewährt deren Herstellern in der Regel 90 Tage Frist bis zur Beseitigung der Schwächen. Anschließend macht es die Natur der Lücken öffentlich. Dies ist zumeist eine ausreichende Motivation für die Unternehmen, ihre Software sicher zu machen.

Laut Google wurde Apple mit den nötigen Details versorgt, um auch das letzte verbliebene Löchlein zu schließen. Es wird also wohl noch ein kleineres Update für iOS 12.4 erscheinen.