• IT-Karriere:
  • Services:

Zero Day: iOS wird über präparierte E-Mails gehackt

Zwei Sicherheitslücken in iOS werden seit mehreren Jahren aktiv ausgenutzt. Ein Patch wurde noch nicht ausgespielt.

Artikel veröffentlicht am ,
Ein iPhone
Ein iPhone (Bild: hurk/Pixabay)

Die Sicherheitsfirma ZecOps hat gleich zwei Zero-Day-Sicherheitslücken in Apples mobilem Betriebssystem iOS entdeckt. Angreifer sollen diese bereits seit mehreren Jahren aktiv ausnutzen. Unter den Opfern sollen sich laut der Sicherheitsfirma mehrere Geschäftsführer sowie ein deutscher VIP befinden. Apple hat bereits einen Patch erstellt, der jedoch noch nicht ausgeliefert wurde.

Stellenmarkt
  1. Sika Automotive Frankfurt-Worms GmbH, Hamburg, Frankfurt, Worms
  2. SCHUFA Holding AG, Wiesbaden

Angreifer können die Sicherheitslücken über präparierte E-Mails ausnutzen, die sie an ihre Opfer senden. Nutzen diese Apples integrierte Mail App, lassen sich je nach Sicherheitslücke ein Heap-Overflow oder ein Out-of-Bound-Write triggern, mit denen sich Code aus der Ferne ausführen lässt. Unter iOS 12 muss die Angreifer-E-Mail vom Nutzer geöffnet werden. Diese enthält jedoch keinen Inhalt.

Unter iOS 13 lässt sich der Angriff komplett ohne Nutzerinteraktion im Hintergrund durchführen. Abgesehen von einer vorübergehenden Verlangsamung des Geräts sei der Angriff für die Opfer nicht wahrnehmbar. Da sich mit den Sicherheitslücken Code im Rahmen der Mailapp (iOS 12) beziehungsweise Maild (iOS 13) ausführen lässt, kann der Angreifer die E-Mail anschließend einfach löschen. Um das iPhone oder iPad komplett zu übernehmen, benötigt der Angreifer eine weitere Sicherheitslücke zur Rechteausweitung. Die Kombination mehrerer Sicherheitslücken, das sogenannte Chaining, ist jedoch nicht unüblich. Im vergangenen Jahr entdeckte Google fünf verschiedene Exploit Chains für iPhones, die aktiv ausgenutzt wurden.

Die Sicherheitslücken wurden bereits im Jahr 2012 mit iOS 6 eingeführt. Laut ZecOps werden sie seit mindestens 2018 für gezielte Angriffe genutzt. Unter den von ZecOps identifizierten Opfern sollen sich ein europäischer Journalist, mehrere Mitarbeiter eines umsatzstarken Unternehmens in den USA sowie ein "VIP aus Deutschland" befinden. Weitere Details nennt die Sicherheitsfirma jedoch nicht.

Auf die Zero Days aufmerksam geworden sei ZecOps über mehrere verdächtige Crashes der Mail App geworden, welche sie anschließend untersucht habe, erklärt die Sicherheitsfirma. Die Sicherheitslücken seien im Februar an Apple gemeldet worden. Da die Sicherheitslücken bereits durch Patches im Rahmen von Apples Beta-Updates veröffentlicht wurden, wüssten die Angreifer, dass ihnen wenig Zeit bliebe, die Sicherheitslücke auszunutzen, schreibt die Sicherheitsfirma. Diese würden die verbleibende Zeit wahrscheinlich für weitere Angriffe nutzen, daher habe sich ZecOps entschlossen, Details zu den Sicherheitslücken zu veröffentlichen und so die iOS-Nutzer zu warnen. Diese könnten sich schützen, indem sie Apples Mail App unter iOS vorübergehend nicht nutzen würden. Die Mail App unter MacOS ist von den Sicherheitslücken nicht betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. The Bradwell Conspiracy für 8,99€, Days of War: Definitive Edition für 8,30€, The King...
  2. Tom Clancy's Rainbow Six Siege für 7,99€, Assassin's Creed Odyssey für 17,99€, Far Cry 5 für...
  3. (-78%) 2,15€

mushid0 26. Apr 2020 / Themenstart

Nennt sich outlook, zu finden im app store

Grolox 25. Apr 2020 / Themenstart

Freiheit statt Apple ...nun es gab ja schon mehr Kommentare von Ihnen in verschiedenen...

dengledingo 25. Apr 2020 / Themenstart

Für iOS 12 wurde gestern noch ein 12.4.6 veröffentlicht.

tomatentee 25. Apr 2020 / Themenstart

Unter Android darf eine Mailapp auch ihre eigene IMAP-Implementierung mitbringen. Unter...

tomatentee 25. Apr 2020 / Themenstart

Wieso sollte ein Mailprovider Apples Totalversagen (es gibt noch immer keinen Patch...

Kommentieren


Folgen Sie uns
       


Cirrus7 Incus A300 - Test

Wir testen den Incus A300 von Cirrus7, einen passiv gekühlten Mini-PC für AMDs Ryzen 2000G/3000G.

Cirrus7 Incus A300 - Test Video aufrufen
Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze

Change-Management: Wie man Mitarbeiter mitnimmt
Change-Management
Wie man Mitarbeiter mitnimmt

Wenn eine Firma neue Software einführt oder Prozesse digitalisiert, stößt sie intern oft auf Skepsis. Häufig heißt es dann, man müsse "die Mitarbeiter mitnehmen" - aber wie?
Von Markus Kammermeier

  1. Digitalisierung in Deutschland Wer stand hier "auf der Leitung"?
  2. Workflows Wenn Digitalisierung aus 2 Papierseiten 20 macht
  3. Digitalisierung Aber das Faxgerät muss bleiben!

Lego Education Spike Prime: Block für Block programmieren lernen
Lego Education Spike Prime
Block für Block programmieren lernen

Mathe büffeln? Formeln pauken? Basic-Code entwickeln? Ganz ehrlich: Es gibt angenehmere Arten, die MINT-Welt kennenzulernen.
Ein Test von Jan Rähm

  1. Lego Technic und Mindstorms Basteln mit Klemmbausteinen
  2. ISS Lego bringt Bausatz der Internationalen Raumstation
  3. Anzeige LEGO Technic Kranwagen bringt doppelten Bauspaß

    •  /