iOS-Kontakte-App kann zur Einschleusung von fremdem Code genutzt werden

Schlüssel - Symbolbild

Apples Kontakte-App ist offenbar von einer Sicherheitsproblematik betroffen. Diese steckt allerdings in der verwendeten Datenbank SQLite, die schon seit Jahren diese Schwachstelle aufweist, so Sicherheitsforscher nun im Rahmen einer Fachkonferenz.

Dieser Tage werden auf verschiedenen Konferenzen verschiedene interessante, teils etwas beunruhigende Dinge demonstriert, das liegt in der Natur der Sache: So nutzten etwa chinesische Forscher das Forum der Black Hat-Sicherheitskonferenz, um einen in der Sache eher mäßig gefährlichen Angriff auf Face ID zu demonstrieren, wie wir in dieser Meldung berichtet hatten. Auf der Def Con 2019, einer weiteren IT-Sicherheitsveranstaltungen, zeigten nun Forscher der Sicherheitsfirma Check Point einen Angriff, der auf Apples Kontakte-App zielt.

Suche nach Kontakten öffnet fremdem Code den Weg

Dabei ist die grundsätzliche Aussage zunächst wenig positiv: Die Forscher zeigten, dass die Kontakte-App ausgenutzt werden kann, um fremden Code auf das iPhone zu bringen und ihn auszuführen. Alles, was der Nutzer dafür tun muss, ist nach einem Kontakt zu suchen. Das eigentliche Problem stecke allerdings in der Datenbank SQLite: Dieser Datenbanktyp komme auf jeder Plattform millionenfach zum Einsatz, so die Check Point-Experten. Ob Windows 10, macOS, iOS oder Anwendungen wie Chrome oder Firefox, überall werde SQLite verwendet. Die nun erwähnte Schwachstelle existiere schon seit Jahren, wurde aber nie repariert, weshalb man sie nochmals in den Fokus nehme. Unter iOS erschien sie auch nie besonders bedrohlich: Sie setzt nämlich voraus, dass der Angriff von einer unbekannten, nicht zertifizierten App ausgeht und in einem so geschlossenen System wie iOS gibt es prinzipiell keine unbekannten Apps, ergo auch kein Problem. Das war so, bis Check Point es geschafft hat, eine von Apple zertifizierte App so zu verändern, dass sie sich für den Angriff eignet, eben die Kontakte-App.

Ob und wann Apple anlässlich dieser Demonstration ein Patch bringt, ist noch nicht bekannt.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!

Gefällt Dir der Artikel?

Roman van Genabith
twitter Google app.net mail

4 Kommentare zu dem Artikel "iOS-Kontakte-App kann zur Einschleusung von fremdem Code genutzt werden"

  1. iPhoner 12. August 2019 um 09:32 Uhr · Antworten
    Und dann gibt es noch solche **** wie Patrick Wardle, die auf ihrer Homepage Schadcode für macOS/iOS zum Download anbieten. Menschen die die Welt nicht braucht…
    iLike 4
  2. Atf 12. August 2019 um 09:59 Uhr · Antworten
    Ganz ehrlich durch solche Artikel wie diesen wird das doch erst zu einem Problem!! Wir als Endbenutzer können eh nichts machen und bei denen die dies Ausnutzen wird das Problem durch den Artikel verbreitet!
    iLike 6
    • Molo 12. August 2019 um 10:36 Uhr · Antworten
      Das ist genau die falsche Denkweise. Die, die solche Schwachstellen ausnutzen, kennen diese zu 1000% schon bevor apfelpage oder andere darüber berichten^^ Aber durch solche Berichte werden die Hersteller gezwungen, solche Dinge zu patchen, um kein PR-Disaster zu riskieren.
      iLike 18
      • Thorsten 12. August 2019 um 10:53 Uhr ·
        Stimmt genau
        iLike 6