Zero Day: iOS wird über präparierte E-Mails gehackt

Zwei Sicherheitslücken in iOS werden seit mehreren Jahren aktiv ausgenutzt. Ein Patch wurde noch nicht ausgespielt.

Artikel veröffentlicht am ,
Ein iPhone
Ein iPhone (Bild: hurk/Pixabay)

Die Sicherheitsfirma ZecOps hat gleich zwei Zero-Day-Sicherheitslücken in Apples mobilem Betriebssystem iOS entdeckt. Angreifer sollen diese bereits seit mehreren Jahren aktiv ausnutzen. Unter den Opfern sollen sich laut der Sicherheitsfirma mehrere Geschäftsführer sowie ein deutscher VIP befinden. Apple hat bereits einen Patch erstellt, der jedoch noch nicht ausgeliefert wurde.

Stellenmarkt
  1. Geoinformatiker / Vermessungsingenieur als Teamleiter (m/w/d) Stromnetze Projekt- & Qualitätssicherung
    Mainova AG, Frankfurt am Main
  2. Fachberater/in (m/w/d) Fallmanagement mit der Möglichkeit zur mobilen Arbeit
    KDN.sozial, Paderborn
Detailsuche

Angreifer können die Sicherheitslücken über präparierte E-Mails ausnutzen, die sie an ihre Opfer senden. Nutzen diese Apples integrierte Mail App, lassen sich je nach Sicherheitslücke ein Heap-Overflow oder ein Out-of-Bound-Write triggern, mit denen sich Code aus der Ferne ausführen lässt. Unter iOS 12 muss die Angreifer-E-Mail vom Nutzer geöffnet werden. Diese enthält jedoch keinen Inhalt.

Unter iOS 13 lässt sich der Angriff komplett ohne Nutzerinteraktion im Hintergrund durchführen. Abgesehen von einer vorübergehenden Verlangsamung des Geräts sei der Angriff für die Opfer nicht wahrnehmbar. Da sich mit den Sicherheitslücken Code im Rahmen der Mailapp (iOS 12) beziehungsweise Maild (iOS 13) ausführen lässt, kann der Angreifer die E-Mail anschließend einfach löschen. Um das iPhone oder iPad komplett zu übernehmen, benötigt der Angreifer eine weitere Sicherheitslücke zur Rechteausweitung. Die Kombination mehrerer Sicherheitslücken, das sogenannte Chaining, ist jedoch nicht unüblich. Im vergangenen Jahr entdeckte Google fünf verschiedene Exploit Chains für iPhones, die aktiv ausgenutzt wurden.

Die Sicherheitslücken wurden bereits im Jahr 2012 mit iOS 6 eingeführt. Laut ZecOps werden sie seit mindestens 2018 für gezielte Angriffe genutzt. Unter den von ZecOps identifizierten Opfern sollen sich ein europäischer Journalist, mehrere Mitarbeiter eines umsatzstarken Unternehmens in den USA sowie ein "VIP aus Deutschland" befinden. Weitere Details nennt die Sicherheitsfirma jedoch nicht.

Golem Karrierewelt
  1. Microsoft Azure Administration: virtueller Zwei-Tage-Workshop
    22./23.08.2022, virtuell
  2. Microsoft 365 Administration: virtueller Drei-Tage-Workshop
    01.-03.06.2022, Virtuell
Weitere IT-Trainings

Auf die Zero Days aufmerksam geworden sei ZecOps über mehrere verdächtige Crashes der Mail App geworden, welche sie anschließend untersucht habe, erklärt die Sicherheitsfirma. Die Sicherheitslücken seien im Februar an Apple gemeldet worden. Da die Sicherheitslücken bereits durch Patches im Rahmen von Apples Beta-Updates veröffentlicht wurden, wüssten die Angreifer, dass ihnen wenig Zeit bliebe, die Sicherheitslücke auszunutzen, schreibt die Sicherheitsfirma. Diese würden die verbleibende Zeit wahrscheinlich für weitere Angriffe nutzen, daher habe sich ZecOps entschlossen, Details zu den Sicherheitslücken zu veröffentlichen und so die iOS-Nutzer zu warnen. Diese könnten sich schützen, indem sie Apples Mail App unter iOS vorübergehend nicht nutzen würden. Die Mail App unter MacOS ist von den Sicherheitslücken nicht betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


mushid0 26. Apr 2020

Nennt sich outlook, zu finden im app store

Grolox 25. Apr 2020

Freiheit statt Apple ...nun es gab ja schon mehr Kommentare von Ihnen in verschiedenen...

dengledingo 25. Apr 2020

Für iOS 12 wurde gestern noch ein 12.4.6 veröffentlicht.

tomatentee 25. Apr 2020

Unter Android darf eine Mailapp auch ihre eigene IMAP-Implementierung mitbringen. Unter...



Aktuell auf der Startseite von Golem.de
"Macht mich einfach wahnsinnig"
Kelber beklagt digitale Inkompetenz von VW

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
Artikel
  1. Unikate: Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken
    Unikate
    Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken

    Die Deutsche Post begann im Februar 2021, Briefmarken mit Matrixcode zu verkaufen. Nun wurden bereits eine Milliarde Stück verkauft.

  2. Telemetrie: Voyager 1 weiß wohl nicht, wo sie ist
    Telemetrie
    Voyager 1 weiß wohl nicht, wo sie ist

    Seit 1977 befindet sich die Raumsonde Voyager 1 auf ihrer Reise durchs All. Die neusten Daten scheinen einen falschen Standort anzuzeigen.

  3. Agile Softwareentwicklung: Einfach mal so drauflos programmiert?
    Agile Softwareentwicklung
    Einfach mal so drauflos programmiert?

    Ohne Scrum wäre das nicht passiert, heißt es oft, wenn etwas schiefgeht. Dabei ist es umgekehrt: Ohne agiles Arbeiten geht es nicht mehr. Doch es gibt drei fundamentale Missverständnisse.
    Von Frank Heckel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung schenkt 19% MwSt. • MindStar (u. a. AMD Ryzen 9 5950X 488€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /