Schlüssel - Symbolbild

12. August 2019

Roman van Genabith

iOS-Kontakte-App kann zur Einschleusung von fremdem Code genutzt werden

Apples Kontakte-App ist offenbar von einer Sicherheitsproblematik betroffen. Diese steckt allerdings in der verwendeten Datenbank SQLite, die schon seit Jahren diese Schwachstelle aufweist, so Sicherheitsforscher nun im Rahmen einer Fachkonferenz.

Dieser Tage werden auf verschiedenen Konferenzen verschiedene interessante, teils etwas beunruhigende Dinge demonstriert, das liegt in der Natur der Sache: So nutzten etwa chinesische Forscher das Forum der Black Hat-Sicherheitskonferenz, um einen in der Sache eher mäßig gefährlichen Angriff auf Face ID zu demonstrieren, wie wir in dieser Meldung berichtet hatten. Auf der Def Con 2019, einer weiteren IT-Sicherheitsveranstaltungen, zeigten nun Forscher der Sicherheitsfirma Check Point einen Angriff, der auf Apples Kontakte-App zielt.

Suche nach Kontakten öffnet fremdem Code den Weg

Dabei ist die grundsätzliche Aussage zunächst wenig positiv: Die Forscher zeigten, dass die Kontakte-App ausgenutzt werden kann, um fremden Code auf das iPhone zu bringen und ihn auszuführen. Alles, was der Nutzer dafür tun muss, ist nach einem Kontakt zu suchen. Das eigentliche Problem stecke allerdings in der Datenbank SQLite: Dieser Datenbanktyp komme auf jeder Plattform millionenfach zum Einsatz, so die Check Point-Experten. Ob Windows 10, macOS, iOS oder Anwendungen wie Chrome oder Firefox, überall werde SQLite verwendet. Die nun erwähnte Schwachstelle existiere schon seit Jahren, wurde aber nie repariert, weshalb man sie nochmals in den Fokus nehme. Unter iOS erschien sie auch nie besonders bedrohlich: Sie setzt nämlich voraus, dass der Angriff von einer unbekannten, nicht zertifizierten App ausgeht und in einem so geschlossenen System wie iOS gibt es prinzipiell keine unbekannten Apps, ergo auch kein Problem. Das war so, bis Check Point es geschafft hat, eine von Apple zertifizierte App so zu verändern, dass sie sich für den Angriff eignet, eben die Kontakte-App.

Ob und wann Apple anlässlich dieser Demonstration ein Patch bringt, ist noch nicht bekannt.

Weitere Artikel

Nach AirPower-Aus: Apple bringt drahtlose Multi-Ladegeräte in den Store

Echo von Schülern gebaut: Amazon gelobt Besserung

4 Gedanken zu „iOS-Kontakte-App kann zur Einschleusung von fremdem Code genutzt werden“

  1. Und dann gibt es noch solche **** wie Patrick Wardle, die auf ihrer Homepage Schadcode für macOS/iOS zum Download anbieten. Menschen die die Welt nicht braucht…
  2. Ganz ehrlich durch solche Artikel wie diesen wird das doch erst zu einem Problem!! Wir als Endbenutzer können eh nichts machen und bei denen die dies Ausnutzen wird das Problem durch den Artikel verbreitet!
    • Das ist genau die falsche Denkweise. Die, die solche Schwachstellen ausnutzen, kennen diese zu 1000% schon bevor apfelpage oder andere darüber berichten^^ Aber durch solche Berichte werden die Hersteller gezwungen, solche Dinge zu patchen, um kein PR-Disaster zu riskieren.

Die Kommentare sind geschlossen.